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Editorial 


Nun ist es da, das neue Bundesdatenschutzgesetz. Als Artikel 1 des DSAnpUG-EU ist 
es am 05.07.2017 im Bundesgesetzblatt veröffentlicht worden. In dieser DANA-Aus- 
gabe widmen sich gleich drei Artikel dem BDSG-neu: Ein allgemeiner Artikel zum 
BDSG-neu, der Artikel „Verfassungswidrige Beschränkung der Datenschutzkontrolle 
bei Berufsgeheimnisträgern‘“ sowie ein Artikel zum Beschäftigtendatenschutz. 


Artikel zu unterschiedlichen Aspekten der Datenschutzgrundverordnung dürfen natür- 
lich auch nicht fehlen. 


Die Aktivitäten des türkischen Geheimdienstes in Deutschland beleuchtet ein Arti- 
kel auch unter Datenschutzgesichtspunkten. Neben den traditionellen Datenschutz- 
schutznachrichten und Buchbesprechungen gibt es noch einen bebilderten Rückblick 
der BigBrotherAward-Gala, die im April 2017 stattfand. 


Apropos Datenkraken: Unter dem Deckmantel des harmlos klingenden „Entwurf ei- 
nes Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschrif- 
ten“ wurden zum einen bei verschiedenen Gesetzen die erforderlichen Anpassungen 
vorgenommen. Zum anderen wurden mit diesem sogenannten Omnibusgesetz gleich 
mehrere aus Datenschutzgesichtspunkten sehr bedenkliche Gesetzesänderungen 
verabschiedet. Hierzu gehören u.a. die Schaffung einer umfassenden Befugnis zur 
Nutzung automatisierter Fingerabdruck-Scans von Asylsuchenden ohne irgendwel- 
che Sicherungsmaßnahmen, die Änderung der Zuständigkeit für die Datenschutzauf- 
sicht im Steuerbereich von den Ländern hin zum Bund und die Beschränkung des 
Auskunftsanspruchs der Bürgerinnen und Bürger gegenüber der Steuerverwaltung. 
Die entsprechenden Änderungen des ursprünglichen Gesetzentwurfs wurden in einer 
139-seitigen Ausschussdrucksache untergebracht, die am Tag nach der entscheiden- 
den Ausschusssitzung vom Bundestag beschlossen wurde. Da hatte selbst die inter- 
essierte Fachöffentlichkeit kaum die Möglichkeit, sich kritisch mit den Änderungen 
auseinander zu setzen. Eine Vorabversion der Ausschussdrucksache diente der Erstel- 
lung unserer Pressemitteilung vom 30.05.2017. Die Einführung des Staatstrojaners 
ist uns zwar nicht entgangen, aber unserer Ressourcen ließen es leider nicht zu, hier- 
zu eine Pressemitteilung zu verfassen. Auch hier wurden gravierende Änderungen 
erst kurz vor der Beschlussfassung im Bundestag in den Entwurf aufgenommen. Der 
Staatstrojaner war im ursprünglichen Gesetzentwurf noch nicht enthalten sondern 
wurde erst in der entscheidenden Ausschussdrucksache eingefügt. Transparente Ge- 
setzgebung geht anders! 


Zu befürchten ist, dass dies — egal wie die Bundestagswahl ausgehen wird — zur 
Methodik wird. Spannend bleibt es allemal. So sind wir auch gespannt auf das 
2. DSAnpUG-EU, mit dem nach unserem derzeitigen Kenntnisstand ca. 140 Gesetze 
an die EU-Datenschutzgrundverordnung angepasst werden sollen. 


In diesem Sinne wünschen wir Ihnen eine anregende Lektüre. 


Werner Hülsmann 
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Werner Hülsmann 


Das neue Bundesdatenschutzgesetz 


"UIOLOTOTON 


1 Einleitung 


Am 25. April 2017 hat der Deutsche 
Bundestag in 2. und 3. Lesung den Ge- 


setzentwurf des Datenschutzanpas- 
sungs- und -Umsetzungsgesetz EU! 
(DSAnpUG-EU,  Bundestagsdrucksa- 


chen 18/11325) in der Fassung der Be- 
schlussempfehlung des Innenausschus- 
ses (Bundestagsdrucksache 18/12084) 
beschlossen. Diesem Gesetzesbeschluss 
hat der Bundesrat am 12. Mai 2017 zu- 
gestimmt. Am 05. Juli 2017 erfolgte die 
Verkündung des DSAnpUG-EU im Bun- 
desgesetzblatt?, es tritt - mit Ausnahme 
des Art. 7 des DSAnpUG-EU gleichzei- 
tig mit dem Wirksamwerden der EU-Da- 
tenschutzgrundverordnung (DS-GVO) 
am 25. Mai 2018 in Kraft. 

Ein wesentlicher Bestandteil des 
DSAnpUG-EU ist der Artikel 1, der das 
neue am 25. Mai 2018 in Kraft tretende 
Bundesdatenschutzgesetz (BDSG-neu)’ 
enthält. Das derzeitige Bundesdaten- 
schutzgesetz (BDSG-alt) tritt gemäß Art. 8 
des DSAnpUG-EU am 25. Mai 2018 au- 
Ber Kraft. Mit dem DSAnpUG-EU und 
dem darin enthaltenen BDSG-neu wer- 
den datenschutzrechtliche Regelungen 
an die DS-GVO angepasst, in ihr enthal- 
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tene „Öffnungsklauseln“ genutzt und die 
„Richtlinie (EU) 2016/680 zum Schutz 
natürlicher Personen bei der Verarbeitung 
personenbezogener Daten durch die zu- 
ständigen Behörden zum Zwecke der Ver- 
hütung, Ermittlung, Aufdeckung oder Ver- 
folgung von Straftaten oder der Strafvoll- 
streckung sowie zum freien Datenverkehr 
und zur Aufhebung des Rahmenbeschlus- 
ses 2008/977/JI des Rates‘ umgesetzt. 
Wichtig dabei ist: Das bisherige BDSG- 
alt wird nicht einfach durch das BDSG- 
neu ersetzt. Vielmehr ersetzen die DS- 
GVO und das BDSG-neu gemeinsam 
das derzeitige BDSG-alt. Es reicht daher 
künftig nicht aus, nur das BDSG-neu (oder 
nur die DS-GVO) vor sich liegen zu ha- 
ben, sondern es ist erforderlich, die Artikel 
der DS-GVO und die dazugehörigen Er- 
wägungsgründe sowie die entsprechenden 
Paragraphen des BDSG-neu zu lesen und 
dies am besten übersichtlich in drei Spal- 
ten nebeneinander“. Allerdings sind auch 
weiterhin bereichsspezifische Regelun- 
gen, auch auf europäischer Ebene — wie 
die derzeit im Entwurf befindliche ePriva- 
cy-Verordnung? — zu berücksichtigen. 
Grundsätzlich ist fraglich, ob alle im 
BDSG-neu enthaltenen Konkretisie- 
rungsregelungen durch entsprechende 


„Öffnungsklauseln“ der DSG-VO abge- 
deckt sind und ob die Begründungen zur 
Nutzung dieser „Öffnungsklauseln“ in 
allen Fällen ausreichend sind. Daher ist 
unsicher, ob alle derzeit im BDSG-neu 
enthaltenen Vorschriften aus europa- 
rechtlicher Sicht Bestand haben können. 


2 Für wen gilt das BDSG-neu? 


Das neue Bundesdatenschutzgesetz 
(BDSG-neu) gilt gemäß $ 1 BDSG-neu 
— wie das bisherige Bundesdatenschutz- 
gesetz — für 
« nicht-öffentliche Stellen (wie Firmen, 
Vereine, Stiftungen, Einzelunterneh- 
mer, Selbständige, Freiberufler) 
öffentliche Stellen der Länder, sofern 
in dem Bundesland der Datenschutz 
nicht durch Landesgesetz geregelt ist 
(das kommt in der Praxis nicht vor) 
öffentliche Stellen des Bundes. 


Bereichsspezifische Regelungen gehen 
allerdings nach wie vor denen des BDSG- 
neu vor. Sofern einzelne Regelungen des 
BDSG-neu, die im Anwendungsbereich 
der DS-GVO gelten sollen (das sind die 
Teile 1 und 2, s.u.) nicht mit der DS-GVO 
vereinbar sind, gehen die Regelungen der 
DS-GVO den entsprechenden Regelun- 
gen des BDSG-neu und aller anderen na- 
tionalen Gesetze vor. 


3 Struktur des BDSG-neu 


Das BDSG-neu besteht aus vier Teilen. 
Dabei sind nicht alle Teile für alle Stellen 
relevant. 

e Teil 1 - Gemeinsame Bestimmungen 
(für die folgenden Teile). 

« Teil 2 — Durchführungsbestimmun- 
gen für Verarbeitungen zu Zwecken 
gemäß Artikel 2 der Verordnung (EU) 
2016/679, das ist die DS-GVO). 

« Teil 3 — Bestimmungen für Verarbei- 
tungen zu Zwecken gemäß Artikel 1 
Absatz 1 der Richtlinie (EU) 2016/680 
(also für Justiz- und Strafverfolgungs- 
behörden). 
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Teil 4 — Besondere Bestimmungen für 
Verarbeitungen im Rahmen von nicht 
in die Anwendungsbereiche der Ver- 
ordnung (EU) 2016/679 und der Richt- 
linie (EU) 2016/680 fallenden Tätig- 
keiten. 


Für nicht-öffentliche Stellen sowie öf- 
fentliche Stellen des Bundes, die keine 
Behörden der Justiz oder Strafverfolgung 
sind, sind nur die Teile I und 2 relevant. 
Die Regelungen aus Teil 3 gelten nur für 
Behörden der Justiz oder Strafverfolgung 
(vgl. Teil 3, Kapitel 1, $ 45 Anwendungs- 
bereich BDSG-neu), für diese Behörden 
gelten auch noch die Paragraphen des 
Teils 1. 


3.1 Sonderfall: Öffentliche Stellen der 
Länder, die am Wettbewerb teilneh- 
men 


Ob und wie weit Regelungen der Teile 
1 und 2 für die öffentlichen Stellen der 
Länder gelten, die am Wettbewerb teil- 
nehmen, ist von den entsprechenden noch 
anzupassenden Landesdatenschutzge- 
setzen abhängig. So gibt es bisher einige 
Landesdatenschutzgesetze, in denen für 
öffentliche Stellen dieser Länder, die am 
Wettbewerb teilnehmen, ganz allgemein 
auf die Regelungen des BDSG für nicht- 
öffentliche Stellen verwiesen wird. Derar- 
tige Verweise funktionieren auch mit dem 
BDSG-neu, andere Landesdatenschutzge- 
setze verweisen auf einzelne Abschnitte 
oder Paragraphen des BDSG-alt. Diese 
Verweise funktionieren nicht mehr mit 
dem BDSG-neu und sind von den Lan- 
desgesetzgebern anzupassen. In einem 
Bundesland wird sogar explizit auf das 
BDSG-alt verwiesen. Hier ist unbedingt 
eine Anpassung vorzunehmen, da dieses 
BDSG am 25. Mai 2018 außer Kraft tritt. 

Zum Redaktionsschluss lagen aller- 
dings noch keine Gesetzesentwürfe zur 
Anpassung von Landesdatenschutzgeset- 
zen an die DS-GVO vor. 


4 Ausgewählte Regelungen des BDSG- 
neu 


Im Folgenden werden einige ausge- 
wählte Regelungen aus den Teilen 1 und 
2 des BDSG-neu detaillierter dargestellt. 
Auf eine vollständige Darstellung wird 
aus Platzgründen an dieser Stelle ver- 
zichtet. 
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4.1 Teil 1 BDSG-neu 


$ 1 BDSG-neu enthält den Anwen- 
dungsbereich (s.o.) 


4.1.18 2 BDSG-neu Begriffsbestim- 
mungen 


Hier ist u.a. geregelt, was unter öffent- 
liche Stellen des Bundes und was unter 
nicht-Öffentliche Stellen zu verstehen ist. 

„Öffentliche Stellen des Bundes 

sind die Behörden, die Organe der 

Rechtspflege und andere öffentlich- 

rechtlich organisierte Einrichtungen 

des Bundes, der bundesunmittelbaren 

Körperschaften, der Anstalten und 

Stiftungen des öffentlichen Rechts 

sowie deren Vereinigungen ungeach- 

tet ihrer Rechtsform. “ ($ 2 Abs. 1 

BDSG-neu) 


Abs. 2 definiert die „öffentlichen Stel- 
len der Länder“, Abs. 3 bestimmt, unter 
welchen Umständen „Vereinigungen 
des privaten Rechts von öffentlichen 
Stellen des Bundes und der Länder, die 
Aufgaben der öffentlichen Verwaltung 
wahrnehmen“ als öffentliche Stellen des 
Bundes gelten. Abs. 4 definiert die nicht- 
öffentlichen Stellen: 

(4) ‚Nicht-öffentliche Stellen sind na- 

türliche und juristische Personen, 

Gesellschaften und andere Personen- 

vereinigungen des privaten Rechts, so- 

weit sie nicht unter die Absätze 1 bis 

3 fallen. ‚Nimmt eine nicht-öffentliche 

Stelle hoheitliche Aufgaben der öffent- 

lichen Verwaltung wahr, ist sie inso- 

weit öffentliche Stelle im Sinne dieses 

Gesetzes. 

„Öffentliche Stellen des Bundes gelten 

als nicht-öffentliche Stellen im Sinne 

dieses Gesetzes, soweit sie als öffent- 
lich-rechtliche Unternehmen am Wett- 

bewerb teilnehmen. “ ($ 2 Abs. 5, Satz 1 

BDSG-neu). 


Leider sind diese Begriffsbestim- 
mungen nicht ganz mit der DS-GVO 
kompatibel, da die DS-GVO „Unter- 
nehmen“ (Art. 4, Ziff. 18) definiert und 
„Behörden“ sowie „öffentliche Stellen“ 
kennt, den Begriff „nicht-öffentliche 
Stellen“ aber nicht verwendet. Eine 
1:1-Nutzung der Begrifflichkeiten der 
DS-GVO hätte hier die Anwendung er- 
leichtert. 


4.1.2 8 3 - Verarbeitung personenbezo- 
gener Daten durch öffentliche Stellen 


„Die Verarbeitung personenbezogener 
Daten durch eine öffentliche Stelle ist 
zulässig, wenn sie zur Erfüllung der 
in der Zuständigkeit des Verantwortli- 
chen® liegenden Aufgabe oder in Aus- 
übung öffentlicher Gewalt, die dem 
Verantwortlichen übertragen wurde, 
erforderlich ist.“ 


Diese Regelung gab es grundsätzlich 
bereits im BDSG-alt, so dass sich an der 
Zulässigkeit der Datenverarbeitung durch 
öffentliche Stellen des Bundes durch die- 
se Regelung nichts Wesentliches ändert. 


4.1.3 84 BDSG-neu - Videoüberwa- 
chung öffentlich zugänglicher Räume 


8 4 Abs. 1 BDSG-neu regelt, dass eine 
Videoüberwachung durch Stellen nur zu- 
lässig ist, 

„soweit sie 
l.zur Aufgabenerfüllung 

Stellen, 
2.zur Wahrnehmung des Hausrechts 

oder 
3.zur Wahrnehmung berechtigter Inte- 

ressen für konkret festgelegte Zwecke 
erforderlich ist und keine Anhaltspunk- 
te bestehen, dass schutzwürdige Inter- 
essen der Betroffenen überwiegen.“ 


öffentlicher 


In $ 4 Abs. 2 BDSG-neu werden „be- 
sonders wichtige Interessen“ definiert, 
die bei der Abwägung, ob schutzwürdige 
Interessen der Betroffenen überwiegen, 
genutzt werden sollen. Hier werden die 
erst vor kurzem mit dem sogenannten 
„Videoüberwachungsverbesserungsge- 
setz“ in das BDSG-alt eingefügten Vor- 
schriften übernommen. Diese Ergänzun- 
gen des BDSG-alt sind von Datenschüt- 
zer/inne/n heftig kritisiert worden. 

Da mangels „Öffnungsklausel“ in der 
DS-GVO berechtige Zweifel an der eu- 
roparechtlichen Zulässigkeit dieser Re- 
gelungen bestehen, sollte sich für die 
Einschätzung der datenschutzrechtlichen 
Zulässigkeit von Videoüberwachungs- 
maßnahmen in erster Linie an Art. 6 
DS-GVO - insbesondere Buchst. e (für 
öffentliche Stellen: Wahrnehmung einer 
Aufgabe, die im öffentlichen Interesse 
liegt) und f (für nichtöffentliche Stellen: 
Interessenabwägung) — orientiert werden. 
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4.1.4 Kapitel 5, 817 Vertretung im 
Europäischen Datenschutzausschuss, 
zentrale Anlaufstelle 


Die Beschränkung der Zuständig- 
keit der aus dem Kreis der Daten- 
schutz-Aufsichtsbehörden der Länder 
gewählte Stellvertretung im Europäi- 
schen Datenschutzausschuss (EDSA) 
auf „Angelegenheiten, die die Wahr- 
nehmung einer Aufgabe betreffen, für 
welche die Länder alleine das Recht 
zur Gesetzgebung haben, oder wel- 
che die Einrichtung oder das Verfah- 
ren von Landesbehörden betreffen“ ist 
nicht zielführend, da die/der BfDI nur 
für die Kontrolle von Unternehmen, 
die Post- oder Telekommunikations- 
dienstleistungen erbringen, zuständig 
ist und in allen anderen die Unterneh- 
men betreffenden Fragestellungen bis- 
her weder zuständig ist noch entspre- 
chende Erfahrungen sammeln konnte. 
Für eine kompetente Vertretung der 
Datenschutz-Aufsichtsbehörden, die 
auch für die Unternehmen aus der Fi- 
nanzbranche zuständig sind, im EDSA 
wäre es daher — auch für die betroffe- 
nen Institute — besser, wenn die Stell- 
vertretung auch für diese Themen im 
EDSA zuständig wäre. 


4.1.5 Kapitel 6, $ 21 - Antrag der 
Aufsichtsbehörde auf gerichtliche 
Entscheidung bei angenommener 
Rechtswidrigkeit eines Beschlusses 
der Europäischen Kommission 


Diese Regelung ermöglicht es den 
Datenschutz-Aufsichtsbehörden di- 
rekt gegen Angemessenheitsbeschlüs- 
se der EU-Kommission sowie gegen 
Beschlüsse über die Allgemein- 
gültigkeit von genehmigten Verhal- 
tensregelungen vorzugehen, sofern 
diese für eine Entscheidung einer 
Aufsichtsbehörde — z.B. im Rahmen 
einer Datenschutz-Kontrolle — rele- 
vant sind. Eine solche Regelung war 
längst überflüssig und ist mit Artikel 7 
des DSAnpUG-EU auch in das ak- 
tuelle BDSG als $ 42b mit Wirkung 
zum 06. Juli 2017 eingefügt worden. 
Es bleibt abzuwarten, wann die erste 
Aufsichtsbehörde dieses Mittel z.B. 
im Zusammenhang mit den Standard- 
Vertragsklauseln oder dem EU-US 
Privacy Shield nutzt. 
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4.2 Teil 2 - Durchführungsbestimmun- 
gen für Verarbeitungen zu Zwecken 
gemäß Artikel 2 der Verordnung (EU) 
2016/679 


4.2.1 Kapitel 1, Abschnitt 1 - Verarbei- 
tung besonderer Kategorien personen- 
bezogener Daten und Verarbeitung zu 
anderen Zwecken 


In diesem Abschnitt werden zum einen 
durch $ 22 BDSG-neu weitere — über die 
in Art. 9 DS-GVO enthaltenen — Ausnah- 
men vom dortigen Verbot der Verarbei- 
tung besonderer Kategorien personenbe- 
zogener Daten eingefügt. Diese zusätz- 
lichen Ausnahmen sind grundsätzlich 
durch die „Öffnungsklauseln“ des Art. 9 
DS-GVO abgedeckt. 

Zum anderen werden in den $$ 23 und 
24 BDSG-neu weitere Möglichkeiten zur 
Zweckänderung — auch in Bezug auf be- 
sonderer Kategorien personenbezogener 
Daten - für öffentliche und nicht-öffent- 
liche Stellen geschaffen, sowie in $ 25 
BDSG-neu die Übermittlung personen- 
bezogener Daten von öffentlichen Stel- 
len an andere öffentliche Stellen und an 
nicht-öffentliche Stellen geregelt. Diese 
Regelungen stellen eine sehr weitgehen- 
de Ausnutzung der „Öffnungsklauseln“ 
dar und sollten daher von den verant- 
wortlichen Stellen „im Lichte der DS- 
GVO“ interpretiert werden. 


4.2.2 Kapitel 1, Abschnitt 2 - Besonde- 
re Verarbeitungssituationen 


Dieser Abschnitt enthält unter anderem 
zwei Paragraphen, denen in dieser DA- 
NA-Ausgabe jeweils ein eigenständiger 
Artikel gewidmet ist. Zum $ 26 Daten- 
verarbeitung für Zwecke des Beschäf- 
tigungsverhältnisses BDSG-neu siehe 
„Beschäftigtendatenschutz nach der DS- 
GVO und dem BDSG-neu“ und zum $ 29 
Rechte der betroffenen Person und auf- 
sichtsbehördliche Befugnisse im Fall von 
Geheimhaltungspflichten BDSG-neu sie- 
he „Verfassungswidrige Beschränkung 
der Datenschutzkontrolle bei Berufsge- 
heimnisträgern“. 

$ 30 Verbraucherkredite BDSG-neu 
übernimmt 1:1 die Regelungen aus $ 29 
Abs. 6 und 7 BDSG-alt, die der Umsetzung 
der EU-Verbraucherkreditrichtlinie dienen. 

$ 31 Schutz des Wirtschaftsverkehrs 
bei Scoring und Bonitätsauskünften 


BDSG-neu übernimmt zum einen die 
Regelungen aus $ 28b Scoring BDSG-alt 
und regelt zum anderen — in Anlehnung 
an die entsprechenden Regelungen aus 
$ 28a Datenübermittlung an Auskunfteien 
BDSG-alt — die Befugnisse zur Verwen- 
dung der von Auskunfteien übermittelten 
Wahrscheinlichkeitswerte über die Zah- 
lungsfähig- und Zahlungswilligkeit von 
natürlichen Personen. Die Übernahme 
dieser Regelungen aus dem alten in das 
neue BDSG wird von Verbraucherschutz- 
und Wirtschaftsverbänden, wie auch von 
einem großen Teil der Datenschutz-Auf- 
sichtsbehörden begrüßt. Es ist allerdings 
zweifelhaft, ob derartige Regelungen im 
öffentlichen Interesse erforderlich und 
daher noch mit den Öffnungsklauseln der 
DS-GVO zu vereinbaren sind. 


4.3 Kapitel 2 Rechte der betroffenen 
Person 


Eigentlich müsste hier — angesichts 
der in diesem Kapitel enthaltenen Vor- 
schriften — die Überschrift lauten: „Ein- 
schränkungen der Rechte der betroffenen 
Person“. Hier sind Regelungen enthalten, 
die deutliche Einschränkungen der Rech- 
te der betroffenen Personen vorsehen. 
Diese Einschränkungen der Betroffenen- 
rechte gehen weit über das hinaus, was 
durch die DS-GVO an Beschränkungen 
zugelassen wird. Daher gilt auch hier: 
Diese Paragraphen sind ebenfalls „im 
Lichte der DS-GVO“ auszulegen. Es ist 
zudem davon auszugehen, dass einige 
der Vorschriften keinen dauerhaften Be- 
stand haben werden. 

$ 37 Automatisierte Entscheidungen 
im Einzelfall einschließlich Profiling 

Die im $ 37 BDSG-neu aufgeführte zu- 
sätzliche Ausnahme vom Verbot automa- 
tisierter Einzelfallentscheidungen gilt nur 
für die Leistungserbringung nach einem 
Versicherungsvertrag und wird hier nicht 
weiter ausgeführt. 

Kapitel 3 - $ 38 - Datenschutzbeauf- 
tragte nicht-öffentlicher Stellen 

Mit $ 38 BDSG-neu wird die bewährte 
Regelung des $ 4f BDSG-alt übernom- 
men, so dass verantwortliche Stellen und 
Auftragsverarbeiter auch dann eine/n 
Datenschutzbeauftragte/n verpflichtend 
zu benennen haben, wenn sie „in der 
Regel mindestens zehn Personen stän- 
dig mit der automatisierten Verarbeitung 
personenbezogener Daten beschäfti- 
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gen“. Darüber hinaus ist auch dann ein/e 
Datenschutzbeauftragter/r zu bennenen, 
wenn die verantwortliche Stelle oder der 
Auftragsverarbeiter Verarbeitungen vor- 
nehmen, für die eine Datenschutz-Fol- 
genabschätzungen nach Art. 35 DS-GVO 
vorzunehmen ist. Diese Vorschriften nut- 
zen die „Öffnungsklausel“ aus Art. 37 
Abs. 4 DS-GVO. 

$ 38 Abs. 2 BDSG-neu verweist auf 
Vorschriften zu den Datenschutzbeauf- 
tragten für öffentliche Stellen ($ 6 Abs. 4, 
Abs. 5 Satz 2 und Abs. 6 BDSG-neu). 

$ 6 Abs. 4 gilt dabei nur für Daten- 
schutzbeauftragte, deren Benennung nach 
EU- oder nationalem Recht verpflichtend 
ist. Dieser Absatz schützt — wie bisher 
$ 4f Abs. 3 Satz 4ff — die verpflichtend 
benannten Datenschutzbeauftragten vor 
willkürlicher Abberufung und — sofern es 
sich um Angestellte der verantwortlichen 
Stelle oder des Auftragsverarbeiters han- 
delt - vor willkürlicher Kündigung. Auch 
wenn die Übernahme dieser Vorschrift 
sehr zu begrüßen ist, ist fraglich, ob diese 
Vorschrift sich noch im Rahmen der „Öff- 
nungsklausel“ aus Art. 37 Abs. 4 DS-GVO 
bewegt oder — insbesondere der Kündi- 
gungsschutz — in den Regelungsbereich 
des keine „Öffnungsklausel“ enthaltenden 
Art. 38 DS-GVO zur Stellung des Daten- 
schutzbeauftragten fällt (vgl. Art. 38 Abs. 3 
zum Benachteiligungsverbot) und somit 
aus EU-rechtlicher Sicht unzulässig ist. 

$ 6 Abs. 5 Satz 2 BDSG-neu über- 
nimmt in Nutzung der „Öffnungsklausel“ 
aus Art. 38 Abs. 5 DS-GVO die aus $ 4f 
Abs. 4 BDSG-alt bekannte Verschwie- 
genheitsverpflichtung über die Identität 
der betroffenen Person, die sich an den/ 
die Datenschutzbeauftragte/n gewandt 
hat. 

Unabhängig von einer Benennungs- 
pflicht eines/einer Datenschutzbeauftrag- 
ten muss es in jedem Unternehmen unab- 
hängig von der Größe des Unternehmens 
mindestens eine Person geben, die auf 
die Einhaltung der datenschutzrechtli- 
chen Verpflichtungen achtet. Zwar ist das 
Datenschutzmanagement eine Aufgabe, 
für die der Vorstand oder die Geschäfts- 
führung grundsätzlich verantwortlich ist. 
Allerdings ist die konkrete Umsetzung 
dieser Aufgaben bei den Datenschutzbe- 
auftragten gut aufgehoben. Zwar sieht die 
DS-GVO vor, dass Unternehmen auch 
auf freiwilliger Basis betriebliche Daten- 
schutzbeauftragte benennen dürfen. Ob 
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dies allerdings bei den Unternehmen in 
größerem Umfang erfolgen würde, ist sehr 
fraglich. Zur Wahrung der Grundrechte 
und der Grundfreiheiten der betroffenen 
Personen aber auch aus Unternehmens- 
sicht (nämlich zur Reduzierung von Buß- 
geldrisiken für die Unternehmen) ist es da- 
her zu begrüßen, dass viele Unternehmen 
durch die in $ 38 Abs. 1 BDSG-neu ent- 
haltenen Vorschriften weiterhin zu „ihrem 
Glück gezwungen“ werden. 


5 Kritik am neuen Bundesdaten- 
schutzgesetz 


Bereits die Gesetzentwürfe für das 
DSAnpUG-EU mit dem neuem BDSG 
haben viel Kritik hervorgerufen. Zu den 
Kritikpunkten der DVD gehörten insbe- 
sondere’: 

« Die geplante Regelung zur Videoüber- 
wachung mit der Vorrangregelung für 
öffentliche Sicherheitsbelange ist euro- 
pa- und verfassungswidrig. 

° Die Regelung zur Bestellung der Bun- 
desbeauftragten für den Datenschutz 
und die Informationsfreiheit (BfDI) 
verstößt hinsichtlich der geforderten 
Transparenz und den personellen An- 
forderungen gegen die europarechtli- 
chen Vorgaben. 

° Die eingeschränkten Kontroll- und 
Sanktionsmöglichkeiten der BfDI im 
öffentlichen und insbesondere im Si- 
cherheitsbereich untergraben insofern 
die Effektivität der Datenschutzaufsicht. 

° Die Regelungen zur Vertretung der 
Aufsichtsbehörden der Länder im Eu- 
ropäischen Datenschutzausschuss be- 
einträchtigen deren Unabhängigkeit. 

e Die Einschränkung der Kontrollbefug- 
nisse der Datenschutzaufsicht im Be- 
reich der Berufsgeheimnisse ist nicht 
akzeptabel. 

e Die Möglichkeiten zur Verweigerung 
von Auskünften an Betroffene sind zu 
unbestimmt und zu weitgehend. 

« Es verbleiben große Regelungsdefi- 
zite in Bezug auf die Datenverarbei- 
tung in Beschäftigungsverhältnissen, 
der Forschung, der Beauftragung von 
IT-Dienstleistern sowie des Angebots 
von Herstellern und Anbietern von IT- 
Produkten. 


Weitere Kritikpunkte wurden von den 
Datenschutzbeauftragten der Länder und 
von weiteren Institutionen geäußert. 


Auf einige wenige Kritikpunkte wur- 
de im Gesetzgebungsverfahren noch re- 
agiert. Die wesentlichen Kritikpunkte der 
DVD und anderer Datenschutzverbände 
blieben allerdings unberücksichtigt®. 


6 Fazit 


Auch wenn es grundsätzlich zu begrü- 
Ben ist, dass etwa ein Jahr vor dem Gül- 
tigwerden der DS-GVO die Anpassung 
des Bundesdatenschutzgesetzes erfolgte, 
gibt das BDSG-neu aber leider nicht die 
Rechtssicherheit, die Unternehmen und 
von der Datenverarbeitung betroffene 
Personen sich gewünscht hätten. Viel- 
mehr ist damit zu rechnen, dass einige 
Regelungen nochmals geändert werden, 
sei es durch den Gesetzgeber (der damit 
EU-Vertragsverletzungsverfahren begeg- 
nen will) oder durch höchstrichterliche 
Rechtsprechung (auf Grund von Klagen 
gegen verfassungswidrige oder EU- 
rechtswidrige Regelungen des BDSG- 
neu). Es bleibt also spannend. 


1 Vollständiger Name: „Entwurf eines 
Gesetzes zur Anpassung des Datenschutz- 
rechts an die Verordnung (EU) 2016/679 
und zur Umsetzung der Richtlinie (EU) 
2016/680°“ 


2 Bundesgesetzblatt Teil I, Nr. 44, S. 2097 ft, 
zu finden unter https://www.bgbl.de 


3 Da die kostenfreie Version des BGBl nicht 
druckbar ist, sei hier auf die nicht-amtliche 
Fassung des Autors verwiesen: https:// 
dsgvo.expert/BDSG-neu (PDF-Datei) 


4 An dieser Stelle sei auf die entsprechende 
Synopse des Autors verwiesen: https:// 
efweha-verlag.de/Bd41eBook (PDF-Datei) 
oder als gedruckte Version: https://efweha- 
verlag.de/bd41 


5 Vgl. hierzu die Stellungnahme der DVD 
zum Entwurf: https://dvd-ev.de/pm/ 
STePrivVO (PDF-Datei und die entspre- 
chende Pressemitteilung hierzu: https:// 
dvd-ev.de/pm/20170531 (PDF-Datei) 


6 Der in der DS-GVO und dem BDSG-neu 
genutzte Begriff „Verantwortliche“ ersetzt 
den aus dem BDSG-alt bekannten bis- 
herigen Begriff „verantwortliche Stelle“. 
In diesem Artikel wird — aus Gründen 
der besseren Verständlichkeit — weiterhin 
der alte Begriff „verantwortliche Stelle“ 
verwendet. 

7 Vgl. Pressemitteilung der DVD vom 
01.02.2017, zu finden unter https://www. 
datenschutzverein.de/pressemitteilungen/ 

8 Vgl. Pressemitteilung der DVD vom 
26.04.2017, ebenfalls zu finden unter 
https://www.datenschutzverein.de/ 
pressemitteilungen/ 
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Thilo Weichert 


Verfassungswidrige Beschränkung der 
Datenschutzkontrolle bei Berufsgeheimnisträgern 


1 Abstract 


Vom 25.05.2018 an tritt ein neues 
Bundesdatenschutzgesetz (BDSG) in 
Deutschland in Kraft, das den Anspruch 
hat, die Europäische Datenschutz- 
Grundverordnung (DSGVO), die von 
diesem Zeitpunkt an direkt anwendbar 
sein wird, umzusetzen. In einem $ 29 
Abs. 3 BDSG wird geregelt, dass die 
Kontrollbefugnis der Datenschutzauf- 
sichtsbehörden im Anwendungsbereich 
von Berufsgeheimnissen nach $ 203 
StGB eingeschränkt wird. Der vorlie- 
gende Text stellt die neue Regelung vor, 
erörtert dessen Auslegung und kommt 
bei einem Abgleich mit übergeordnetem 
Recht zu dem Ergebnis, dass die Rege- 
lung gegen europäisches und nationales 
Verfassungsrecht verstößt. 


2 Die Regelung 
2.1 Kurze Geschichte 


Am 27.04.2017 beschloss der Deut- 
sche Bundestag in zweiter und dritter 
Lesung den Entwurf eines neuen Bun- 
desdatenschutzgesetzes (BDSG) als 
Teil des Datenschutz-Anpassungs- und 
-Umsetzungsgesetz EU (DSAnpUG- 
EU). Hinter diesem bürokratisch klin- 
genden Namen verbirgt sich nichts 
anderes als die nationale Umsetzung 
der wesentlichen Vorgaben der Europä- 
ischen Datenschutz-Grundverordnung 
(DSGVO) und der Verordnung (EU) 
2016/679. Die mediale Resonanz zu 
diesem für die Wahrung der digitalen 
Grundrechte in Europa wichtigen Gesetz 
tendierte gegen Null. Auch die fachliche 
Resonanz hielt sich in Grenzen. Soweit 
es Kommentierungen gab, waren diese 
eher freundlich, verbunden mit dezen- 
ter Kritik, etwa des Berufsverbands der 
Datenschutzbeauftragten Deutschlands 
(BvD) e.V. oder der Bundesbeauftrag- 
ten für den Datenschutz und die Infor- 
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mationsfreiheit (BfDI). Kritisch äußerte 
sich die Deutsche Vereinigung für Da- 
tenschutz e.V. (DVD) mit einer Rund- 
umkritik. Einer von den Kritikpunkten 
ist: „Die Kontrollbefugnisse der Daten- 
schutzaufsicht im Bereich der Berufs- 
geheimnisse werden bis zur Wirkungs- 
losigkeit eingeschränkt.“ 

Gemäß den $$ 19 Abs. 1, 40 Abs. 1 
BDSG 1977 hatten der Bundesbeauf- 
tragte für den Datenschutz sowie die 
Aufsichtsbehörden der Länder eine un- 
beschränkte Kontrollbefugnis über „die 
Einhaltung der Vorschriften dieses Ge- 
setzes sowie anderer Vorschriften über 
den Datenschutz“. Nachdem es immer 
wieder zu Konflikten bei der Prüfung 
von Stellen kam, die meinten, sich we- 
gen ihrer besonderen Geheimhaltungs- 
pflichten der Datenschutzkontrolle ent- 
ziehen zu können, wurde in $ 24 Abs. 2 
S. 1 BDSG 1990 ausdrücklich klarge- 
stellt, dass sich die Kontrolle auch „auf 
personenbezogene Daten, die einem 
Berufs- oder besonderen Amtsgeheim- 
nis, insbesondere dem Steuergeheimnis 
nach $ 30 der Abgabenordnung, unter- 
liegen“, erstreckt. Doch die Kontrollbe- 
fugnis blieb umstritten. Dies betraf nicht 
nur gesetzlich geregelte Bereiche wie 
die geheimdienstliche Tätigkeit, etwa 
im Hinblick auf die Post- und Telekom- 
munikationsüberwachung oder Sicher- 
heitsüberprüfungen ($ 24 Abs. 2 S. 3 
BDSG 1990). Insbesondere Anwälte 
wehrten sich gegen die möglichen Prü- 
fungen, obwohl solche in der Praxis nur 
in ganz wenigen Ausnahmefällen statt- 
fanden. Widerstand kam gelegentlich 
auch aus dem medizinischen Bereich, 
wobei diese Kritik zunehmend leiser 
wurde, weil sich zeigte, dass mit der 
Datenschutzkontrolle keine Beeinträch- 
tigung, sondern eher eine Stärkung der 
Arzt-Patienten-Vertraulichkeitsbezie- 
hung einhergeht. 

Nachdem nun in Art. 90 Abs. 1 
DSGVO geregelt ist, dass die Mit- 


gliedstaaten die Befugnisse von Daten- 
schutzaufsichtsbehörden in Bezug auf 
Berufsgeheimnisse abweichend regeln 
dürfen, „soweit dies notwendig und ver- 
hältnismäßig ist“, waren und sind Be- 
rufsverbandsvertreter wieder animiert, 
gegen die Datenschutzkontrolle Lobby- 
politik zu betreiben, an allererster Stelle 
die Anwaltsverbände und -kammern. 
Obwohl es weiterhin praktisch keine 
Anwendungsfälle für einen Konflikt 
zwischen anwaltlicher Schweigepflicht 
bzw. Mandantengeheimnis und Daten- 
schutzkontrolle gab, enthielt schon der 
erste Referentententwurf für eine Um- 
setzung der DSGVO eine sehr weitge- 
hende Privilegierung. Diese wurde zwar 
modifiziert, aber im Wesentlichen bis 
zum Kabinettsentwurf vom 01.02.2017 
fortgeschrieben. Dies stieß auf die ein- 
vernehmliche Kritik aller Datenschützer 
in Aufsichtsbehörden wie auch in Da- 
tenschutzorganisationen. 

Bei der Anhörung des Bundestags- 
Innenausschusses am 27.03.2017 wur- 
de die geplante Regelung von Peter 
Schaar von der EAID kritisiert: „Daten- 
schutzbehörden müssen zukünftig drau- 
Benbleiben“. Außer den Stellungnahmen 
der EAID und der Bundesbeauftragten 
für den Datenschutz und die Informati- 
onsfreiheit (BfDI) äußerten sich alle an- 
deren dem Bundestag vorgelegten Stel- 
lungnahmen zum Thema entweder gar 
nicht oder kommentierten den Vorschlag 
positiv, so etwa die des Rechtsanwalts 
Piltz, der Wirtschaftsprüfer, des Arbeit- 
geberverbands BDA oder der Deutschen 
Krankenhausgesellschaft. Der Bundes- 
tag sah keine Veranlassung, insofern 
eine Änderung vorzunehmen. 


2.2 Der Wortlaut 
Folgende Regelung wurde beschlos- 
sen: Gegenüber den in $ 203 Absatz 1, 


2a und 3 des Strafgesetzbuches genann- 
ten Personen oder deren Auftragsverar- 
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beitern bestehen die Untersuchungsbe- 
Jugnisse der Aufsichtsbehörden gemäß 
Artikel 58 Absatz I Buchstabe e und f 
der Verordnung (EU) 2016/679 nicht, 
soweit die Inanspruchnahme der Befug- 
nisse zu einem Verstoß gegen die Ge- 
heimhaltungspflichten dieser Personen 
führen würde. Erlangt eine Aufsichtsbe- 
hörde im Rahmen einer Untersuchung 
Kenntnis von Daten, die einer Geheim- 
haltungspflicht im Sinne des Satzes 1 un- 
terliegen, gilt die Geheimhaltungspflicht 
auch für die Aufsichtsbehörde. 


2.3 Die Begründung 


Als Gesetzesbegründung wurde Fol- 
gendes ausgeführt: „Absatz 3 Satz 1 
macht von der Öffnungsklausel des Ar- 
tikels 90 der Verordnung (EU) 2016/679 
Gebrauch, ihr entspricht Erwägungs- 
grund 164 der Verordnung. Nach Arti- 
kel 58 Absatz 1 Buchstaben e und f der 
Verordnung (EU) 2016/679 haben die 
Aufsichtsbehörden die Befugnis, von 
dem Verantwortlichen und dem Auf- 
tragsverarbeiter Zugang zu erhalten zu 
allen für die Erfüllung ihrer Aufgaben 
notwendigen personenbezogenen Da- 
ten und Informationen sowie zu den 
Geschäftsräumen, einschließlich aller 
Datenverarbeitungsanlagen und -geräte. 
Artikel 90 Absatz 1 Verordnung (EU) 
2016/679 eröffnet den Mitgliedstaaten 
die Möglichkeit, die Befugnisse der 
Aufsichtsbehörden im Sinne des Ar- 
tikels 58 Absatz 1 Buchstaben e und f 
gegenüber Geheimnisträgern zu regeln. 
Mit Absatz 3 Satz 1 wird diese Möglich- 
keit insbesondere dergestalt umgesetzt, 
dass eine Aufsichtsbehörde entgegen 
Artikel 58 Absatz 1 Buchstabe e der 
Verordnung (EU) 2016/679 dann keinen 
Zugang zu Daten und Informationen 
hat, soweit dadurch die Geheimhal- 
tungspflicht verletzt würde. Ohne eine 
Einschränkung der Befugnisse der Auf- 
sichtsbehörden käme es zu einer Kollisi- 
on mit Pflichten des Geheimnisträgers. 
Gerade bei den freien Berufen schützt 
die berufsrechtliche Schweigepflicht 
das Vertrauen des Mandanten und der 
Öffentlichkeit in den Berufsstand. Nach 
bundesverfassungsgerichtlicher Recht- 
sprechung darf das Mandatsverhältnis 
nicht mit Unsicherheiten hinsichtlich 
seiner Vertraulichkeit belastet sein (vgl. 
BVerfG, Urteil vom 12. April 2005 — 2 
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BvR 1027/02). Absatz 3 Satz 2 verlän- 
gert die Geheimhaltungspflicht auf die 
Aufsichtsbehörde. Berufsgeheimnisträ- 
ger bedienen sich vermehrt externer IT- 
Dienstleister und verpflichten diese als 
Auftragsverarbeiter vertraglich zur Ver- 
schwiegenheit. Um zu vermeiden, dass 
die Auftragsverarbeiter vertragsbrüchig 
werden, wenn sie die ihnen anvertrauten 
Daten gegenüber den Aufsichtsbehörden 
offenlegen müssten, umfasst Absatz 3 
auch den Auftragsverarbeiter.“ 


3 Auslegungsversuche des $ 29 
Abs. 3 BDSG 


Absatz 3 privilegiert die in $ 203 
Abs. 1, 2a u. 3 StGB genannten berufs- 
ausübende Personen. Dabei handelt 
es sich nicht nur um den Arzt und den 
Rechtsanwalt, sondern auch um Zahn- 
ärzte, Apotheker, Angehörige eines an- 
deren Heilberufs, Berufspsychologen, 
Patentanwälte, Notare, weitere Ver- 
teidiger, Wirtschaftsprüfer, vereidigte 
Buchprüfer, Steuerberater, Steuerbe- 
vollmächtigte, Mitglieder eines Organs 
einer Rechtsanwalts-, Patentanwalts-, 
Wirtschaftsprüfungs-, Buchprüfungs- 
und Steuerberatungsgesellschaft, Ehe-, 
Familien-, Erziehungs- und Jugendbe- 
rater, Berater für Suchtfragen und für 
Schwangerschaftskonflikte, staatliche 
anerkannte Sozialarbeiter oder Sozial- 
pädagogen, Angehörige einer privaten 
Kranken-, Unfall- oder Lebensversi- 
cherung oder einer privatärztlichen 
Verrechnungsstelle, Beauftragte für den 
Datenschutz, Mitglieder einer Rechts- 
anwaltskammer sowie um berufstätig 
tätige Gehilfen und die Personen, die 
bei Berufsgeheimnisträgern zur Vorbe- 
reitung auf den Beruf tätig sind. Sämt- 
liche der genannten Personen bzw. Be- 
rufsgruppen setzen in zunehmendem 
Maße elektronische Datenverarbeitung 
ein und nutzen offene Kommunikati- 
onsnetze bei der Verarbeitung sensitiver 
personenbezogener Daten. 

Neu ist, dass nicht nur die Verantwort- 
lichen selbst und die bei diesen tätigen 
Personen privilegiert werden, sondern 
auch deren Auftragsverarbeiter. Diese 
genießen bisher noch nicht den Schutz 
des Berufsgeheimnisses. Dies soll sich 
aber noch vor Ablauf der Legislaturpe- 
riode im Herbst 2017 ändern. In einem 
vom Bundeskabinett am 15.02.2017 


beschlossenen „Entwurf eines Geset- 
zes zur Neuregelung des Schutzes von 
Geheimnissen bei der Mitwirkung Drit- 
ter an der Berufsausübung schweige- 
pflichtiger Personen“ werden Personen 
ähnlich Berufsgeheimnisträgern unter 
einen rechtlichen Schutz gestellt, die 
bei Berufsgeheimnisträgern „an ihrer 
beruflichen oder dienstlichen Tätigkeit 
mitwirken, soweit dies für die Inan- 
spruchnahme der Tätigkeit der sonsti- 
gen mitwirkenden Personen erforderlich 
ist“. Diese aus Datenschutzsicht sehr zu 
begrüßende Regelungsabsicht bezieht 
sich auf für die Berufsausübung erfor- 
derliche Auftragsverarbeitungen für Be- 
rufsgeheimnisträger und nicht nur auf 
Auftragsverarbeitungen mit Berufsge- 
heimnissen. 

Ausgeschlossen werden die in 
Art. 58 Abs. 1 lit. e u. f DSGVO gere- 
gelten Befugnisse der Aufsichtsbehör- 
den. Dies sind der „Zugang zu allen 
personenbezogenen Daten und Infor- 
mationen“ sowie der „Zugang zu den 
Geschäftsräumen, einschließlich aller 
Datenverarbeitungsanlagen und -gerä- 
te“. Ausgeschlossen wird also nicht nur 
die Nutzung der Berufsgeheimnisse für 
datenschutzrechtliche Kontrollzwecke, 
sondern schon der Zugang zu diesen 
und damit auch die Prüfung, ob es sich 
dabei überhaupt um Berufsgeheimnisse 
handelt. 

Die Kontrollprivilegierung des Abs. 3 
besteht nur, „soweit die Inanspruchnah- 
me der Befugnisse zu einem Verstoß 
gegen die Geheimhaltungspflichten 
dieser Personen führen würde“. Die- 
se Beschränkung der Privilegierung 
macht ratlos: Eine Durchbrechung von 
Geheimhaltungspflichten liegt in jeder 
Form der Offenbarung. Ein Verstoß liegt 
dabei nicht vor, wenn die Offenbarung 
gerechtfertigt ist. Die Regelung gibt für 
eine solche Rechtfertigung keine Hin- 
weise. 

Eine Rechtfertigung kann in einer 
wirksamen Einwilligung, einer Schwei- 
gepflichtentbindung des Betroffenen, 
also z. B. des Mandanten oder des Pa- 
tienten, liegen. Eine solche bezieht sich 
aber nur auf die diesen selbst betref- 
fenden Daten. Regelmäßig erfassen die 
Datensätze aber nicht nur Angaben über 
einen Betroffenen, sondern auch zu wei- 
teren Personen, die z. B. über eine Kont- 
rollbitte bei einer Datenschutzaufsichts- 
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behörde keine „Einwilligung“ erteilt ha- 
ben. Dies gilt erst recht, wenn, was bei 
Berufsgeheimnisträgern und deren Auf- 
tragsverarbeitern üblich ist, die Speiche- 
rung von Daten nicht (ausschließlich) 
nach individuellem Personenbezug ge- 
trennt, sondern in nicht abgeschotteten 
Datenbeständen erfolgt. Eine Einwilli- 
gung einer betroffenen Person genügt 
hier in keinem Fall, da andere Personen 
betroffen sind, die keine Einwilligung 
erteilt haben. Der Zugang zu deren Da- 
ten wird durch Abs. 3 ausgeschlossen 
und damit oft auch zwangsläufig der Zu- 
gang zu den Daten eines Einwilligenden 
(z. B. des Beschwerdeführers). 

Jenseits von Einwilligungen können 
Offenbarungen nach $ 203 StGB durch 
eine Interessenabwägung auf gesetz- 
licher Grundlage gerechtfertigt sein. 
Die einzige hier in Betracht kommende 
Rechtfertigung ist die Datenschutzkon- 
trolle. Diese wird durch die Regelung 
aber gerade eingeschränkt. Wir haben 
es also bei $ 29 Abs. 3 BDSG mit einer 
typischen Zirkelverweisung, also mit 
einer Verweisung auf sich selbst zu tun: 
Eine Datenschutzkontrolle nach Art. 58 
DSGVO könnte die Offenbarung nach 
$ 203 StGB rechtfertigen; mit ihr wäre 
aber in jedem Fall ein Verstoß gegen die 
Geheimhaltungspflichten des Geheim- 
nisträgers verbunden. Die Regelung ist 
unklar und gibt weder dem Konttrollier- 
ten noch den Kontrollierenden Vorga- 
ben, wann ein Verstoß gegen Geheim- 
haltungspflichten gegeben ist. 

In der Gesetzesbegründung wird 
ausschließlich auf das Mandantenge- 
heimnis Bezug genommen. Eine Be- 
schränkung der Anwendung auf diesen 
Bereich wird aber durch den weiten und 
offenen Gesetzeswortlaut, der sogar 
Auftragsverarbeiter einbezieht, ausge- 
schlossen. Auch der Verweis der Geset- 
zesbegründung auf den Beschluss des 
Bundesverfassungsgerichts (BVerfG) 
vom 12.04.2005 gibt keine weiteren 
Hinweise auf eine mögliche Ausle- 
gung der Regelung. Dieser Beschluss 
schließt nicht den reinen Datenzugriff 
aus, sondern die umfassende staatsan- 
waltschaftliche Sicherstellung und Be- 
schlagnahme. Er bezieht sich auf einen 
Rechtsanwalt und Steuerberater und 
nicht auf sämtliche Berufsgeheimnis- 
träger oder auf solche Geheimnisträger 
generell (s. u. 4). 
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4 Die Datenschutzkontrolle aus ver- 
fassungsrechtlicher Sicht 


Die Datenschutzkontrolle ist in Art. 8 
Abs. 3 Europäische Grundrechte- 
Charta (GRCh) ausdrücklich vorge- 
sehen: „Die Einhaltung dieser Vor- 
schriften wird von einer unabhängigen 
Stelle überwacht“. Eine Einschränkung 
hinsichtlich Berufsgeheimnisse enthält 
die Regelung nicht. Art. 8 Abs. 3 GRCh 
fordert ein effektives Datenschutz- 
kontrollsystem, unabhängig davon, ob 
Berufsgeheimnisse verarbeitet werden 
oder nicht. Hierfür ist es nötig, dass die 
Kontrollstellen Untersuchungsbefugnis- 
se erhalten, die sie jederzeit, d. h. nicht 
nur bei Vorliegen eines konkreten Ver- 
dachts und bezügliche jedweder Form 
der Verarbeitung benötigen. 

Das Untersuchungsrecht der Kont- 
rollstellen setzt nicht einmal eine per- 
sonenbezogene Datenverarbeitung vor- 
aus; es genügt der konkrete Verdacht 
einer solchen Verarbeitung aufgrund 
tatsächlicher Anhaltspunkte. Nur wenn 
erkennbar ist, dass keine personenbezo- 
gene Datenverarbeitung erfolgt, besteht 
keine Auskunftspflicht und kein Kont- 
rollrecht. Für die Überprüfung bedarf es 
grds. keines konkreten Anlasses, z. B. 
eines Verdachts eines Datenschutzver- 
stoßes. 

Auch nach nationalem Verfassungs- 
recht ist eine wirksame aufsichtliche 
Kontrolle zwingend. Zwar bedarf es 
hierfür generell nicht, wie im sicher- 
heitsbehördlichen Bereich, turnusgemä- 
Ber Pflichtkontrollen. Wohl aber müs- 
sen situative aufsichtliche Kontrollen 
uneingeschränkt möglich sein. Es darf 
keinen kontrollfreien Raum geben. Die 
Daten müssen der Datenschutzkontrolle 
in praktikabel auswertbarer Weise zur 
Verfügung stehen. 

Gerade bei tiefin die Privatsphäre ein- 
greifenden Maßnahmen der Datenverar- 
beitung ist eine aufsichtliche Kontrolle 
sowohl auf der Ebene des Gesetzes als 
auch der Verwaltungspraxis von gro- 
Ber Bedeutung. Die Verarbeitung von 
Berufsgeheimnissen ist eine derart ein- 
schneidende bzw. sensitive Maßnahme. 

Zweifellos erfolgen über Daten- 
schutzkontrollen bei Berufsgeheimnis- 
trägern, ähnlich wie über strafprozessu- 
ale Ermittlungsmaßnahmen, Eingriffe 
in die Grundrechte sowohl des Be- 


rufsgeheimnisträgers wie auch der von 
der Verarbeitung betroffenen Person, 
insbesondere in den Schutzbereich des 
Art. 2 Abs. 1 GG (Art. 6 GRCh) und in 
das Recht auf informationelle Selbstbe- 
stimmung gem. Art. 2 Abs. 1 i. V. m. Art. 
1 Abs. 1 GG (Art. 8 GRCh). Auch das 
Grundrecht der Berufsfreiheit (Art. 12 
GG, Art. 15 GRCh) ist bei der Daten- 
schutzprüfung zu beachten. Bei Ein- 
griffen ist die berufliche Sphäre von 
Rechtsanwälten oder von Steuerberatern 
und damit zudem die objektive Bedeu- 
tung der „freien Advokatur“ bzw. die 
Organstellung in der Steuerrechtspflege 
zu berücksichtigen. Dies darf aber nicht 
zu einer vollständigen Verhinderung der 
datenschutzrechtlichen Kontrolle füh- 
ren. Vielmehr muss eine Prüfung der 
Verhältnismäßigkeit erfolgen. 

Als Eingriffsgrundlagen sind allge- 
meine gesetzliche Regelungen, die eine 
staatliche Kontrolle erlauben, zulässig. 
Eine nähere gesetzliche Eingrenzung ist 
wegen der Vielgestaltigkeit möglicher 
Sachverhalte oft nicht möglich und auch 
verfassungsrechtlich nicht geboten. Die 
Befugnisse der Art. 58 Abs. 1 lit. e, f 
DSGVO genügen diesen verfassungs- 
rechtlichen Anforderungen an hoheitli- 
che Ermittlungsmaßnahmen. In Bezug 
auf den Schutz von Berufsgeheimnisträ- 
gern ist in jedem Fall eine Abwägung im 
Einzelfall erforderlich. 

In diesen Bereichen muss eine „stren- 
ge Begrenzung auf die Ermittlungs- 
zwecke“ erfolgen. Zwar dürfen die im 
Rahmen einer Ermittlung erlangten In- 
formationen zur Kenntnis genommen 
werden. Doch dürfen die überschießen- 
den, für die Datenschutzkontrolle nicht 
erforderlichen Daten nicht weiterver- 
arbeitet werden. Soweit eine Trennung 
möglich ist, ist diese vorzunehmen. 
Relevant können gerade bei der daten- 
schutzrechtlichen Bewertung die Struk- 
tur des Datenbestands und die technisch- 
organisatorischen Rahmenbedingungen 
der Verarbeitung sein. Dies setzt aber 
eine Durchsicht der vorhandenen Daten 
voraus. Der jeweilige Eingriff im Rah- 
men der Kontrolle kann dabei von der 
Bedeutung der Kontrolle für den Schutz 
informationeller Selbstbestimmung und 
der Schwere eines aufzuklärenden Ver- 
stoßes abhängig gemacht werden. 

Die verfassungsrechtlichen Bewer- 
tungen auf nationaler und auf euro- 
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päischer Ebene entsprechen sich voll- 
ständig. Art. 90 DSGVO erlaubt keinen 
gänzlichen Ausschluss der Untersu- 
chungsbefugnisse in konkreten Situati- 
onen. 


5. Verfassungswidrigkeit von $ 29 
Abs. 3S.1 BDSG 


Angesichts dessen hält $ 29 Abs. 3 
BDSG einer verfassungsrechtlichen 
Prüfung nicht stand. Dadurch, dass ge- 
mäß der Regelung der Datenschutzkon- 
trolle schon der Zugang zu Räumlich- 
keiten und Datenbeständen vorenthalten 
werden kann, wird für sie unter Um- 
ständen von vornherein eine Kontrolle 
vollständig ausgeschlossen. Ein Ver- 
antwortlicher oder Auftragsverarbeiter 
kann eine Kontrolle verweigern, ohne 
dass es der Datenschutzaufsicht ermög- 
licht wird, diese auf ihre Berechtigung 
hin zu überprüfen, da für eine solche 
Prüfung zumindest eine äußere Sichtung 
der zu kontrollierenden Datenbestände 
nötig ist. Es ist der Datenschutzaufsicht 
nicht zumutbar, bei jedem Konfliktfall 
eine gerichtliche Klärung herbeizufüh- 
ren. Bis zur gerichtlichen Klärung könn- 
ten prüfrelevante Änderungen durch 
den Verantwortlichen oder Auftrags- 
verarbeiter vorgenommen und damit 
Nachweise für Datenschutzverstöße be- 
seitigt werden. Datenschutzverstöße im 
besonders sensitiven Geheimnisbereich 
bleiben unaufgeklärt und ohne Sanktion. 
Dies hätte zur Folge, dass gerade in ei- 
nem Bereich, in dem die Beachtung des 
Datenschutzes von größter Bedeutung 
ist, ein noch stärkeres Vollzugsdefizit 
als bisher entstünde. Es wäre auch nicht 
im Sinne des Grundrechtsschutzes, bei 
Feststellung von Datenschutzverstößen 
durch die Aufsichtsbehörde die Weiter- 
gabe der relevanten Informationen an 
die Strafverfolgung auszuschließen. 

Die Unbestimmtheit der Regelung 
provoziert geradezu Kontroversen über 
die Kontrollbefugnis. Angesichts der be- 
grenzten Ressourcen der Datenschutz- 
kontrolle kann die Unbestimmtheit der 
Regelung dazu führen, dass wirksame 
Prüfungen im Geheimnisbereich un- 
möglich würden. 

Dies hätte zur Folge, dass eine effek- 
tive Prüfung der Verarbeitung personen- 
bezogener Daten bei den in $ 203 StGB 
genannten Personen bzw. Stellen ver- 
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hindert würde. Eine Prüfung würde ge- 
rade dort eingeschränkt, wo wegen des 
Umfangs und der Sensibilität der Daten 
eine besondere Gefährdung für den Da- 
tenschutz bzw. für das Recht auf infor- 
mationelle Selbstbestimmung besteht, 
also in Krankenhäusern, ambulanten 
Arztpraxen, bei privaten Versicherun- 
gen, Steuerberatern oder sozialen Bera- 
tungsstellen. 

$ 29 Abs. 3 BDSG unterstellt fälsch- 
lich, dass es eine strukturell angelegte 
Konfliktlage zwischen dem Berufsge- 
heimnissen und dem Datenschutz gäbe. 
Die Regelung gibt im Konfliktfall den 
Berufsgeheimnissen vor dem Daten- 
schutz den Vorrang. Berufsgeheim- 
nisse sind spezifische Datenschutzre- 
gelungen, deren Einhaltung zu prüfen 
insbesondere Aufgabe der Aufsichts- 
behörden ist. Andere hoheitliche Kont- 
rollstellen, etwa die Staatsanwaltschaf- 
ten oder die Berufskammern, sind — aus 
unterschiedlichen Gründen — für eine 
wirksame umfassende Kontrolle nicht 
geeignet. 

Berufsgeheimnisse und berufliche 
Vertrauensverhältnisse bestehen vor- 
rangig im Interesse der betroffenen 
Kunden, Mandanten oder Patienten und 
erst in zweiter Linie im Interesse der 
Geheimnisträger und schon gar nicht 
in deren Interesse an einer kontrollfrei- 
en Tätigkeit. Das Vertrauensverhältnis 
zwischen Geheimnisträger und den be- 
troffenen Menschen würde eher dadurch 
beeinträchtigt, dass die Betroffenen 
befürchten müssten, dass ihre Geheim- 
nisse bei den Berufsgeheimnisträgern 
mangels hinreichender Kontrolle nicht 
ausreichend geschützt sind. 

Die Regelung des $ 29 Abs. 3 BDSG 
lässt sich auch nicht mit der Öffnungs- 
klausel des Art. 90 DSGVO in Einklang 
bringen. Diese erlaubt eine Einschrän- 
kung der Befugnisse der Aufsichtsbe- 
hörden nur, soweit dies „notwendig und 
verhältnismäßig ist, um das Recht auf 
Schutz der personenbezogenen Daten 
mit der Pflicht zur Geheimhaltung in 
Einklang zu bringen“. Die obigen Aus- 
führungen haben gezeigt, dass weder die 
Geeignetheit noch die Angemessenheit 
für diesen Zweck bestehen. 

Als vertretbare und hinreichende 
Schutzmaßnahme i. S. v. Art. 90 DS- 
GVO zugunsten des Berufsgeheimnisses 
genügt eine Regelung, die der Intention 


von $ 29 Abs. 3 S. 2 BDSG entspricht, 
wonach die Aufsichtsbehörde selbst ei- 
ner Geheimhaltungspflicht unterworfen 
wird. Auch in Bezug auf den Prüfanlass 
sind bei Berufsgeheimnissen gesetzliche 
Einschränkungen vorstellbar, etwa dass 
der Anlass für die Kontrollen näher de- 
finiert wird oder dass der Umfang von 
anlasslosen Kontrollen auf Stichproben- 
prüfungen beschränkt wird. 

Im Ergebnis kann festgehalten wer- 
den, dass $ 29 Abs. 3 BDSG gegen das 
grundrechtlich begründete staatliche 
Gebot des Schutzes personenbezoge- 
ner Daten verstößt und deshalb aufge- 
hoben werden muss. Sollten Berufsge- 
heimnisträger unter Verweis auf diese 
Regelung eine Datenschutzkontrolle 
verweigern, so ist die Datenschutzauf- 
sichtsbehörde gut beraten, die Kontrolle 
mit den bestehenden aufsichtlichen Mit- 
teln dennoch durchzusetzen und eine 
höchstgerichtliche Klärung der Verfas- 
sungskonformität der Regelung frühest- 
möglich anzustreben. 


Bild: ClipDealer 
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Werner Hülsmann 


Beschäftigtendatenschutz nach der DS-GVO 
und dem BDSG-neu 


Neue Herausforderungen - auch für Betriebs- und Personalräte 


Einleitung 


Die mit der EU-Datenschutzgrundver- 
ordnung (DS-GVO) einher gegangene 
Reformierung des Datenschutzrechts auf 
europäischer und auf nationaler Ebene 
hätte die Chance geboten EU-weit ein- 
heitliche Rahmenbedingungen für den 
Beschäftigtendatenschutz zu schaffen. 
Diese Chance wurde leider vertan. So 
bleibt es Aufgabe der nationalen Gesetz- 
geber sowie der Arbeitgeber gemeinsam 
mit den Interessenvertretungen der Be- 
schäftigten rechtliche Regelungen zum 
Beschäftigtendatenschutz zu schaffen. 


Beschäftigtendatenschutz in der 
DS-GVO 


Die DS-GVO regelt den Beschäftigten- 
datenschutz selbst nicht, sondern gibt 
mit einer sogenannten Öffnungsklausel 
in Artikel 88 Abs. 1 DS-GVO die Mög- 
lichkeit über nationales Recht und/oder 
Kollektivvereinbarungen — zu denen in 
Deutschland neben Tarifverträgen auch 
Betriebs- und Dienstvereinbarungen 
gehören — Regelungen zum Beschäf- 
tigtendatenschutz zu schaffen. Damit 
haben der nationale Gesetzgeber aber 
auch Arbeitgeber und die Interessenver- 
tretungen der Beschäftigten die Mög- 
lichkeit den Beschäftigtendatenschutz 
zu regeln und insbesondere im Bereich 
der Dienst- und Betriebsvereinbarungen 
bewährte Regelungen weitgehend bei- 
zubehalten. 

In Artikel 88 Absatz 2 DS-GVO wer- 
den Mindestanforderungen aufgeführt, 
denen derartige nationale Regelungen 
und Kollektivvereinbarungen zu genü- 
gen haben: 

„Diese Vorschriften umfassen ange- 

messene und besondere Maßnahmen 

zur Wahrung der menschlichen Würde, 
der berechtigten Interessen und der 

Grundrechte der betroffenen Person, 
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insbesondere im Hinblick auf die Trans- 

parenz der Verarbeitung, die Übermitt- 
lung personenbezogener Daten inner- 
halb einer Unternehmensgruppe oder 
einer Gruppe von Unternehmen, die 
eine gemeinsame Wirtschaftstätigkeit 
ausüben, und die Überwachungssyste- 
me am Arbeitsplatz.“ 


Es ist davon auszugehen, dass in 
vielen der bestehenden Betriebs- und 
Dienstvereinbarungen die geforderten 
„angemessenen und besonderen Maß- 
nahmen“ noch nicht oder nicht in aus- 
reichender Form enthalten sind. 


Beschäftigtendatenschutz im neuen 
Bundesdatenschutzgesetz 


Der Bundesgesetzgeber hat mit dem 
„Datenschutz-Anpassungs- und Umset- 
zungsgesetz EU“ (DSAnpUG-EU) in 
Artikel 1 das am 25. Mai 2018 in Kraft 
tretende neue Bundesdatenschutzgesetz 
(BDSG-neu)' beschlossen. Er hat es da- 
bei allerdings wieder einmal versäumt 
ein Beschäftigtendatenschutzgesetz zu 
erlassen, obwohl ein solches schon lan- 
ge gefordert wird und auch mehrfach in 
Koalitionsvereinbarungen versprochen 
wurde. Vielmehr hat sich der Bundes- 
gesetzgeber damit begnügt im $ 26 des 
BDSG-neu die Regelungen des $ 32 des 
derzeitigen BDSG zu übernehmen und — 
um zu versuchen, die Anforderungen der 
DS-GVO zu erfüllen — etwas ergänzt. 
Allerdings gibt es berechtige Zweifel, 
ob die Regelungen des $ 26 BDSG-neu 
den Anforderungen des Art. 88 Abs. 2 
DS-GVO genügen. 


Begriffsbestimmung Beschäftigte 


Die Definition des Begriffes „Be- 
schäftigte“ findet sich in $ 26 Abs. 8 
BDSG-neu und nicht — wie eigentlich zu 
vermuten gewesen wäre - in $ 2 BDSG- 


neu. Ist dies vielleicht ein Indiz dafür, 
dass zumindest langfristig beabsichtigt 
ist, den Beschäftigtendatenschutz doch 
noch — mitsamt der hierfür erforderli- 
chen Begriffsbestimmung — in einem 
eigenständigen Gesetz zu regeln? 

Diese  Begriffsbestimmung über- 
nimmt weitgehend die Begriffsbestim- 
mung aus dem derzeitigen $ 3 Abs. 11 
BDSG-alt. Ergänzt wird sie um „Leihar- 
beitnehmerinnen und Leiharbeitnehmer 
im Verhältnis zum Entleiher“ sowie um 
„Freiwillige, die einen Dienst nach dem 
(...) dem Bundesfreiwilligendienstge- 
setz leisten“. 


Datenverarbeitung zum Zwecke des 
Beschäftigungsverhältnisses 


In $ 26 Abs. 1 Satz 1 BDSG-neu wird 
zum einen der bisherige Satz 1 des $ 32 
Abs. 1 BDSG-alt übernommen. Zum 
anderen wird ausdrücklich angegeben, 
dass eine Verarbeitung von Beschäftig- 
tendaten auch zulässig ist, soweit diese 
zur „Ausübung oder Erfüllung der sich 
aus einem Gesetz oder einem Tarif- 
vertrag, einer Betriebs- oder Dienst- 
vereinbarung (Kollektivvereinbarung) 
ergebenden Rechte und Pflichten der 
Interessenvertretung der Beschäftigten“ 
erforderlich ist. 

8 26 Abs. 1 Satz 2 BDSG-neu über- 
nimmt inhaltsgleich die Regelung aus 
$ 32 Abs. 1 Satz 2 BDSG-alt zur Ver- 
arbeitung von Beschäftigtendaten zum 
Zweck der Aufdeckung von im Beschäf- 
tigungsverhältnis begangen Straftaten. 
Jedoch wurden die Begrifflichkeiten an 
die DS-GVO angepasst. 

Die Abs. 6 und 7 des $ 26 BDSG-neu 
übernehmen die Regelungen der Abs. 2 
und 3 des derzeitigen $ 32, wenn auch 
in umgekehrter Reihenfolge und mit 
sprachlichen Anpassungen. So sagt $ 26 
Abs. 6 BDSG lapidar: „Beteiligungs- 
rechte der Interessenvertretungen der 
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Beschäftigten bleiben unberührt‘. Abs. 7 
regelt nun, dass die Abs. I bis 6 auch 
dann gelten, 

„wenn personenbezogene Daten, 
einschließlich besonderer Kategorien 
personenbezogener Daten, von Beschäf- 
tigten verarbeitet werden, ohne dass sie 
in einem Dateisystem gespeichert sind 
oder gespeichert werden sollen“ 


Einwilligung im Beschäftigungsver- 
hältnis 


Für Einwilligungen im Beschäfti- 
gungsverhältnis gibt $ 26 Abs. 2 BDSG- 
neu Hilfestellung zur Beurteilung der 
Freiwilligkeit dieser Einwilligungen: 

„(2) Erfolgt die Verarbeitung perso- 

nenbezogener Daten von Beschäftigten 

auf der Grundlage einer Einwilligung, 
so sind für die Beurteilung der Freiwil- 
ligkeit der Einwilligung insbesondere 
die im Beschäftigungsverhältnis be- 
stehende Abhängigkeit der beschäftig- 
ten Person sowie die Umstände, unter 
denen die Einwilligung erteilt worden 
ist, zu berücksichtigen. Freiwilligkeit 
kann insbesondere vorliegen, wenn für 
die beschäftigte Person ein rechtlicher 
oder wirtschaftlicher Vorteil erreicht 
wird oder Arbeitgeber und beschäftig- 
te Person gleichgelagerte Interessen 
verfolgen. Die Einwilligung bedarf der 

Schriftform, soweit nicht wegen beson- 

derer Umstände eine andere Form an- 

gemessen ist. Der Arbeitgeber hat die 
beschäftigte Person über den Zweck 
der Datenverarbeitung und über ihr 

Widerrufsrecht nach Artikel 7 Absatz 3 

der Verordnung (EU) 2016/679 [das ist 

die DS-GVO] in Textform aufzuklären “ 


Diese Regelungen ergänzen und kon- 
kretisieren insoweit die allgemeinen 
Regelungen zur Einwilligung des Art. 7 
DS-GVO. 


Verarbeitung besonderer Kategorien 
personenbezogener Daten 


Während das derzeitige BDSG keine 
besonderen Regelungen zur Verarbei- 
tung von besonderen Kategorien per- 
sonenbezogener Daten im Beschäfti- 
gungsverhältnis enthält, regelt nun $ 26 
Abs. 3 BDSG-neu den Umgang mit die- 
sen besonders sensiblen Daten. Danach 
ist die Verarbeitung dieser Daten 
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„für Zwecke des Beschäftigungs- 
verhältnisses zulässig, wenn sie zur 
Ausübung von Rechten oder zur Er- 
füllung rechtlicher Pflichten aus dem 
Arbeitsrecht, dem Recht der sozialen 
Sicherheit und des Sozialschutzes er- 
forderlich ist und kein Grund zu der 
Annahme besteht, dass das schutzwür- 
dige Interesse der betroffenen Person 
an dem Ausschluss der Verarbeitung 
überwiegt“. 


Eine Einwilligung kann für die Ver- 
arbeitung besonderer Kategorien perso- 
nenbezogener Daten erteilt werden, in 
diesem Fall muss sich die Einwilligung 
ausdrücklich auf diese besonderen Kate- 
gorien beziehen. 

Der Arbeitgeber ist verpflichtet bei 
der Verarbeitung besonderer Kategorien 
personenbezogener Daten „angemes- 
sene und spezifische Maßnahmen zur 
Wahrung der Interessen der betroffenen 
Person“ zu ergreifen. Hierzu sind 10 
Punkte in $ 22 Abs. 2 BDSG-neu auf- 
geführt worden. Auf deren Darstellung 
wird an dieser Stelle verzichtet. 


Kollektivvereinbarungen als Rechts- 
grundlage 


Im Absatz 4 des $ 26 BDSG-neu ist 
ausdrücklich geregelt, dass eine Verar- 
beitung von Beschäftigtendaten, ein- 
schließlich besonderer Kategorien per- 
sonenbezogener Daten auch auf Grund- 
lage einer Kollektivvereinbarung zuläs- 
sig ist. Hierbei wird zusätzlich darauf 
hingewiesen, dass die Regelungen des 
Art. 88 Abs. 2 DS-GVO bei derartigen 
Vereinbarungen einzuhalten sind. 


Einhaltung der Grundsätze der DS- 
GVO 


Absatz 5 des $ 26 BDSG-neu fordert 

eine Selbstverständlichkeit: 
„Der Verantwortliche muss geeignete 
Maßnahmen ergreifen um sicherzu- 
stellen, dass insbesondere die in Arti- 
kel 5 der Verordnung (EU) 2016/679 
[das ist die DS-GVO] dargelegten 
Grundsätze für die Verarbeitung per- 
sonenbezogener Daten eingehalten 
werden“. 


Auch wenn das Bundesinnenminis- 
terium im Gegensatz zur EU-Kommis- 


sion konsequent von Öffnungsklauseln 
in der DS-GVO spricht, sollte eigent- 
lich klar sein, dass diese Konkretisie- 
rungs- und Ergänzungsklauseln nur im 
Rahmen der DS-GVO genutzt werden 
können. 


Technischer Datenschutz — 
Ein Thema auch für Betriebs- und 
Personalräte?! 


Auch wenn in den Anforderungen 
des Art. 88 Abs. 2 DS-GVO an Rege- 
lungen zum Beschäftigtendatenschutz 
nur der Begriff „Maßnahmen“ genannt 
ist, sind damit auch die technischen 
und organisatorischen Maßnahmen 
zur Sicherstellung des Datenschutzes 
gemeint. Zu den Anforderungen, die 
von der DS-GVO an den technischen 
Datenschutz und damit auch an die- 
se technischen und organisatorischen 
Maßnahmen gestellt werden vgl. den 
Artikel „Technischer Datenschutz und 
Datenschutz-Folgenabschätzung — An- 
forderungen der DS-GVO“ in dieser 
Ausgabe. 

Für betriebliche und behördliche 
Datenschutzbeauftragte ist es selbst- 
verständlich, dass sie sich mit dem 
Thema des technischen Datenschutzes 
beschäftigen (müssen). Aber es gehört 
— spätestens mit dem Gültigwerden der 
Regelung des Art. 88 Abs. 2 DS-GVO - 
auch zu den Aufgaben der Betriebs- und 
Personalräte darauf zu achten, dass der 
Arbeitgeber die erforderlichen „ange- 
messenen und besonderen Maßnahmen“ 
im Bereich der Verarbeitung von Be- 
schäftigtendaten umgesetzt hat. Dies er- 
gibt sich beispielsweise aus $ 80 Abs. 1 
BetrVG?: 

„Der Betriebsrat hat folgende allge- 

meine Aufgaben: 

l.darüber zu wachen, dass die zu- 

gunsten der Arbeitnehmer gelten- 
den Gesetze, Verordnungen, Unfall- 
verhütungsvorschriften, _Tarifver- 
träge und Betriebsvereinbarungen 
durchgeführt werden; “ 


Zu den „zugunsten der Arbeitnehmer 
geltenden Gesetze“ gehören gemäß der 
höchstrichterlichen Rechtsprechung 
auch die entsprechenden gesetzlichen 
Regelungen zum Beschäftigtendaten- 
schutz, damit neben $ 26 des BDSG-neu 
auch Art. 88 DS-GVO. 
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Aufgaben für Betriebs- und Perso- 
nalräte zum technischen Datenschutz 


Für Betriebs- und Personalräte wird es 
in der Zukunft wichtig, sich intensiver 
mit dem technischen Datenschutz — also 
den technischen und organisatorischen 
Maßnahmen zur Sicherstellung des Da- 
tenschutzes zu beschäftigen. Dies ergibt 
sich insbesondere aus zwei Gründen: 
1.Aus der Regelung, dass bei einer ge- 

mäß Art. 35 DS-GVO durchzuführen- 

den Datenschutz-Folgenabschätzung 
für eine Verarbeitung von Beschäftig- 
tendaten der Arbeitgeber den Stand- 
punkt der Personalvertretung einholen 
muss. Um eine qualifizierte Stellung- 
nahme abzugeben, ist es für die Per- 
sonalvertretung auch erforderlich ein- 
schätzen zu können, inwieweit die vom 

Arbeitgeber vorgesehenen technischen 

und organisatorischen Maßnahmen 

geeignet und ausreichend sind, um die 
mit dieser Verarbeitung verbundenen 

Risiken für die Beschäftigten zu mini- 

mieren. 

2. Aus der Regelung, dass gemäß Art. 88 
Abs. 2 DS-GVO Betriebs- und Dienst- 
vereinbarungen, in denen der Umgang 
mit Beschäftigtendaten geregelt wird 
„angemessene und besondere Maßnah- 
men zur Wahrung der menschlichen 
Würde, der berechtigten Interessen 
und der Grundrechte der betroffenen 
Person,‘ umfassen müssen. Hier ist 
es die Aufgabe der Personalvertre- 
tungen bei Abschluss entsprechender 
Betriebs- oder Dienstvereinbarungen 
darauf zu achten, dass die seitens des 


Arbeitgebers vorgeschlagenen Maß- 
nahmen zum einen ausreichend sind 
und zum anderen in der Betriebs- oder 
Dienstvereinbarung festgeschrieben 
werden. Letzteres kann aus praktischen 
Gründen auch in einer entsprechenden 
Anlage erfolgen, die fortgeschrieben 
werden kann, ohne dass hierzu eine 
Kündigung der Betriebs- oder Dienst- 
vereinbarung erforderlich wäre. 


Umgang mit bereits bestehenden 
Betriebs- und Dienstvereinbarungen. 


Bereits bestehende Betriebs- und 
Dienstvereinbarungen sind zudem darauf- 
hin zu überprüfen, ob sie den Anforderun- 
gen aus Art. 88 Absatz 2 DS-GVO genü- 
gen. Betriebs- und Dienstvereinbarungen, 
deren datenschutzrelevante Bestandteile 
diesen Anforderungen nicht genügen, soll- 
ten rechtzeitig angepasst werden. Alterna- 
tiv kann auch eine Rahmen-Betriebs- oder 
Dienstvereinbarung geschlossen werden, 
die die im Art. 88 Abs. 2 DS-GVO gefor- 
derten Maßnahmen für bereits bestehende 
aber auch künftige Betriebs- und Dienst- 
vereinbarungen enthält. 

Falls die erforderliche Sachkunde bei 
den Personalvertretungen (noch) nicht 
vorhanden ist, sollte die Beratung durch 
den/die betrieblichen oder behördlichen 
Datenschutzbeauftragten und/oder die 
Hinzuziehung externen Sachverstandes 
erwogen werden. 


Fazit 
Auch wenn es noch immer kein Be- 
schäftigtendatenschutzgesetz gibt, so 


Datenschutzwissen 


Zusammenstellung: Werner Hülsmann 


ompaktf 


Band 4.1 


In dieser neuen Synopse 
der ab 25. Mai 2018 gelten 
den EU-Datenschutzgrund- 
verordnung (DS-GVO) sind 
zu den Artikeln der DS-GVO 
soweit wie möglich die pas- 


führen die Neuregelungen in der DS- 
GVO und im BDSG-neu dazu, dass die 
bisher in den Betrieben geltenden Rege- 
lungen zum Beschäftigtendatenschutz 
— insbesondere die bereits bestehenden 
Betriebs- und Dienstvereinbarungen — 
auf den Prüfstand gestellt werden müs- 
sen. In vielen Fällen werden ergänzende 
Regelungen und Aktualisierung beste- 
hender Regelungen erforderlich sein. 
Vom Gesetzgeber ist nach wie vor zu 
fordern, dass er ein Beschäftigtendaten- 
schutzgesetz erlässt, das diesen Namen 
auch verdient. An dieser Forderung wird 
sich der im Herbst neu zu wählende Bun- 
destag und die neue Bundesregierung 
messen müssen. Das Netzwerk Daten- 
schutzexpertise hat in einem Gutachten 
„Die EU-DSGVO und die Zukunft des 
Beschäftigtendatenschutzes“ bereits im 
April 2016 entsprechende „Vorschläge 
für ein modernes Beschäftigten-/Arbeit- 
nehmerdatenschutzrecht‘““ vorgestellt. 


1 Für öffentliche Stellen der Länder ist 
zu beachten, dass hier die landesrecht- 
lichen Regelungen zum Beschäftigten- 
datenschutz weiterhin gültig sind. Nur 
wo im Landesrecht geregelt ist, dass 
die entsprechenden Regelungen des 
BDSG anzuwenden sind, gilt auch für 
diese Stellen $ 26 BDSG. Dies ist der- 
zeit in sieben Bundesländern für öf- 
fentliche Stellen der Länder, die am 
Wettbewerb teilnehmen, so geregelt. 


2 vergleichbare Regelungen finden sich 
auch in den Personalvertretungsgesetzen 


3 Vgl. http://www.netzwerk- 
datenschutzexpertise.de/dokument/ 
besch“C3% A4ftigtendatenschutz 
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senden Erwägungsgründe der DS-GVO und 
die vergleichbaren Regelungen aus dem 
ebenfalls ab dem 25. Mai 2018 geltenden 
neuen Bundesdatenschutzgesetz (BDSG- 
neu) gegenübergestellt. Auch wurde für die 
DS-GVO ein (nicht-amtliches) Inhaltsver- 
zeichnis hinzugefügt. Damit ist diese Synop- 
se ein unverzichtbares Hilfsmittel für Daten- 
schutzbeauftragte, Datenschutzjuristinnen, 
Datenschutzverantwortliche und alle am 
Datenschutz Interessierten. 
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Werner Hülsmann 


Mobile Access unter den Bedingungen der 
EU-Datenschutz-Grundverordnung 


1. Einleitung 


Unter Mobile Access wird die Zu- 
trittssteuerung mit mobilen Endgeräten, 
wie z.B. Mobiltelefon oder Smartphone 
verstanden. Bei der Zutrittssteuerung 
mit dem Smartphone fließen personen- 
bezogene Daten und es gibt viele Be- 
teiligte. Angefangen vom Nutzer des 
Smartphones über den Vertragsinhaber 
über den Mobilfunkbetreiber, weiter 
zum App-Ersteller und zu den Dienst- 
leistern, die die entsprechenden Schließ- 
mechanismen anbieten und warten. Die 
Nutzung von Mobile-Access-Systemen 
bringt auf der einen Seite dem Anwen- 
der einen höheren Komfort. Auf der 
anderen Seite können aus den zwangs- 
läufig entstehenden Daten von den un- 
terschiedlichen Beteiligten mehr oder 
weniger lückenlose Bewegungsprofile 
erstellt werden. Für eine breite Akzep- 
tanz derartiger Mobile-Access-Systeme 
ist daher ein datenschutzfreundlicher 
Umgang mit den anfallenden Daten 
zwingend erforderlich. 


lässt zum anderen Datenschutzverstöße 
richtig teuer werden. Wesentliche Da- 
tenschutzgrundsätze der DS-GVO wie 
Datenminimierung und Datensparsam- 
keit gab es zwar bereits im bisherigen 
Bundesdatenschutzgesetz (BDSG). 
Neu ist aber, dass Verstöße gegen die- 
se Grundsätze ab 25. Mai 2018 mit 
Bußgeldern in Millionenhöhe bedroht 
sind. Die DS-GVO eröffnet aber auch 
Chancen für die neuen Geschäftsmo- 
delle. Unter anderem gibt es nun die 
Möglichkeit, dass mehrere Unterneh- 
men vertraglich vereinbaren können, 
gemeinsam verantwortliche Stellen für 
die zu verarbeitenden personenbezoge- 
nen Daten zu sein. Dadurch ist es mög- 
lich, die Verantwortlichkeiten für den 
Umgang mit den personenbezogenen 
Daten zwischen den Beteiligten ver- 
bindlich zu regeln. 

Mit Hilfe von Datenschutz-Zertifizie- 
rungen und der Anwendung von ver- 
bandsweiten Verhaltensregelungen kann 
die Einhaltung der Datenschutzgrund- 
sätze dokumentiert werden. Dies kann 
dann auch zur Akzep- 
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tanzförderung genutzt 
werden. 


2. Mobile Access und 
Datenschutz 


Beim Mobile Access 
fallen an vielfältigen 
Stellen Daten an, Daten 
werden zwischen den 


Bild 1: Datenflüsse und Angriffsmöglichkeiten 


Gerade für die Anbieter derartiger 
Systeme und Dienstleistungen ist dabei 
zu beachten, dass ab dem 25. Mai 2018 
die EU-Datenschutzgrundverordnung 
(DS-GVO) gültig wird. Sie bringt zum 
einen einige neue Anforderungen für 
Systembetreiber und Dienstleister und 
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Komponenten übertra- 

gen, werden von Systemanbieten ge- 

speichert und verarbeitet. Daher stellt 

sich einige datenschutzrechtlich rele- 

vante Fragen. 

° Welche der Daten sind personenbezo- 
gene Daten? 

° Welche Daten sind „nur“ pseudonyme 
Daten, welche Daten können als ano- 
nymisierte Daten angesehen werden? 


«e Wer sind die Verantwortlichen (im 
bisherige Sprachgebrauch: Verant- 
wortliche Stellen, also die Stellen, die 
die Daten der betroffenen Personen 
in eigener Verantwortung verarbeiten 
oder verarbeiten lassen)? 

e Welche Anforderungen haben die ver- 
antwortlichen Stellen zu beachten? 

e Welche Rechte haben die betroffenen 
Personen 


2.1 Was sind personenbezogene Daten 


Der Begriff „personenbezogene Da- 
ten“ wird in der DS-GVO in den Be- 
griffsbestimmungen definiert. Diese 
Definition entspricht im Groben der 
Definition des derzeitigen Bundesdaten- 
schutzgesetzes. 

„Der Ausdruck [...] ‘personenbezo- 

gene Daten‘ [bezeichnet] alle Infor- 

mationen, die sich auf eine identifi- 
zierte oder identifizierbare natürliche 

Person (im Folgenden „betroffene 

Person‘) beziehen; als identifizierbar 

wird eine natürliche Person angese- 

hen, die direkt oder indirekt, insbe- 
sondere mittels Zuordnung zu einer 

Kennung wie einem Namen, zu einer 

Kennnummer, zu Standortdaten, zu 

einer Online-Kennung oder zu einem 

oder mehreren besonderen Merk- 
malen identifiziert werden kann, die 

Ausdruck der physischen, physiologi- 

schen, genetischen, psychischen, wirt- 

schaftlichen, kulturellen oder sozialen 

Identität dieser natürlichen Person 

sind“ (Art. 4 Ziff. 1 DS-GVO) 


Die Daten, die bei der Nutzung ei- 
nes Mobile-Access-Systems durch die 
nutzende Person erzeugt werden und 
anfallen, sind daher grundsätzlich als 
personenbezogene Daten im Sinne der 
DS-GVO anzusehen. Hierzu gehören 
insbesondere (aber nicht nur) folgende 
Daten: 
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Wer hat wann und wo welche Tür 
(Autotür, Wohnungstür, etc.) mit wel- 
chem Gerät bedient (geöffnet, verrie- 
gelt, ...). 

Wer hat wann wo Licht, Heizung, etc. 
ein- oder ausgeschaltet. 

Wer hält sich wann wo auf. 

Wem ist welche SIM-Karte, welches 
Mobile Device zugeordnet. 

Wer hat wann wem welche Zugriffs- 
rechte eingeräumt. 

Von wem wurden wann welche Zu- 
griffsrechte genutzt. 


Auch Daten, die z.B. zwischen einem 
Smartphone und der Türöffnungsmecha- 
nik eines KFZ hin und her fließen — sei 
es direkt (z.B. via Bluetooth oder NFC) 
oder indirekt über das Internet und einen 
Serviceprovider — sind personenbezo- 
gene Daten, da sowohl Smartphone als 
auch das KFZ einer Person zugeordnet 
werden können. 


2.2 Wer ist „Herr der Daten“, wer ist 
Verantwortlicher? 


Gemäß Art 4 Ziffer 7 der DS-GVO 
bezeichnet der Ausdruck 

„ Verantwortlicher‘ die natürliche 
oder juristische Person, Behörde, 
Einrichtung oder andere Stelle, die 
allein oder gemeinsam mit anderen 
über die Zwecke und Mittel der Ver- 
arbeitung von personenbezogenen 
Daten entscheidet; sind die Zwecke 
und Mittel dieser Verarbeitung durch 
das Unionsrecht oder das Recht 
der Mitgliedstaaten vorgegeben, so 
können der Verantwortliche bezie- 
hungsweise die bestimmten Kriterien 
seiner Benennung nach dem Unions- 
recht oder dem Recht der Mitglied- 
staaten vorgesehen werden“ (Art. 4 
Ziff. 7 DS-GVO) 


Von daher ist zur Klärung dieser Fra- 
ge die Architektur des jeweilige Mobile- 
Access-Systems genauer zu betrach- 
ten. Dabei sind zwei unterschiedliche 
Grundkonstellationen möglich. 
1.Es handelt sich um ein lokales Sys- 

tem, d.h. die Datenübertragung zur 

Nutzung erfolgt — z.B durch Blue- 

tooth, WLAN des Nutzers oder 

NFC - direkt zwischen dem Mobile 

Device und dem Schließsystem. In 

diesem Fall ist der Eigentümer bzw. 
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Besitzer des Systems „Herr der Da- 
ten“ und - im Falle eines z.B. im Un- 
ternehmen benutzten Schließsystems 
— Verantwortlicher im Sinne der DS- 
GVO. 


Bild 2: Lokales System 


2.Es handelt sich um ein serverbasier- 
tes System, das von einem Dienstean- 
bieter betrieben wird. Die Daten, die 
zur Nutzung des Schließsystems ver- 
wendet werden, werden vom Mobile 
Device über das Internet zum Server 
und von diesem über das Internet zum 
Schließmechanismus übertragen. In 
diesem Fall ist der Diensteanbieter 
als Verantwortlicher im Sinne der DS- 
GVO anzusehen. 


« die zur Nutzung des Mobile-Access- 
Systems für das Mobile Device erfor- 
derliche Software (Mobile-Access- 
App) vom Hersteller des Mobile 
Access-Systems oder in dessen Auf- 
trag programmiert und zur Verfügung 
gestellt wird, die Mobile-Access-App 
also in den Verantwortungsbereich 
des Herstellers des Mobile-Access- 
Systems fällt. 


Es ist allerdings auch denkbar, dass 
die genutzte Mobile-Access-Apps von 
unabhängigen Dritten erstellt und an- 
geboten werden. Für Nutzer von Mo- 
bile-Access-Systemen könnten solche 
Apps dann interessant sein, wenn sie 
komfortabler sind als die herstellersei- 
tig angebotenen oder wenn diese er- 
möglichen, auch solche Komponenten 
verschiedener Hersteller zu koppeln, 
bei denen das die Hersteller selbst 
nicht vorgesehen haben. Wenn über 
derartige Apps dann auch Nutzungsda- 
ten gesammelt oder ausgewertet wer- 
den, sind diese Mobile-Access-App- 
Anbieter für die von ihnen gesammel- 
ten oder ausgewerteten Nutzungsdaten 
als Verantwortliche im Sinne der DS- 
GVO anzusehen. 


Oo O0 
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2.3 Technischer 

Datenschutz in der 

DS-GVO 
Die unterschiedli- 
chen Systemkompo- 
nenten und Grund- 
konstellationen sind 
auch unter den Ge- 
sichtspunkten des 


Bild 3: Serverbasiertes System 


Bei diesen beiden Grundkonstellatio- 

nen wird davon ausgegangen, dass 

° sowohl der Mobilfunkbetreiber des 
Nutzers als auch die Internetprovider 
von Nutzer und Diensteanbieter hier 
als reine Telekommunikationsdienst- 
leister agieren und die Daten, die zur 
Nutzung des Mobile-Access-Systems 
zwischen Mobile Device, Dienstean- 
bieter und Schließsystem ausgetauscht 
werden, neutral übertragen und somit 
keine _Mobile-Access-spezifischen 
Auswertungen oder Verarbeitungen 
vornehmen. 


technischen Daten- 
schutzes zu betrachten. 

Die DS-GVO stellt umfassende An- 
forderungen zur Sicherstellung der 
datenschutzkonformen Verarbeitung 
personenbezogener Daten. Hierzu sind 
von den Verantwortlichen „geeignete 
technische und organisatorische Maß- 
nahmen“ (Art. 24 Abs. 1 Satz 1 DS- 
GVO) umzusetzen. Diese Maßnahmen 
sollen insbesondere dazu dienen, die in 
der DS-GVO genannten Schutzziele zu 
erreichen. Zu den Schutzzielen und ih- 
ren Fundstellen siehe den Artikel „Tech- 
nischer Datenschutz und Datenschutz- 
Folgenabschätzung - Anforderungen 
der DS-GVO“ in dieser Ausgabe. 
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Einige mögliche Maßnahmen zur Er- 
reichung der Schutzziele sind in der DS- 
GVO bereits genannt: 
Pseudonymisierung und Verschlüsse- 
lung (Art. 32, Abs. 1 Buchstabe a DS- 
GVO) 

Verfahren zur regelmäßigen Überprü- 
fung, Bewertung und Evaluierung der 
Wirksamkeit der technischen und or- 
ganisatorischen Maßnahmen (Art. 32, 
Abs. 1 Buchstabe d DS-GVO) 
Verantwortliche und Auftraggeber 
müssen sicherzustellen, dass ihnen 
unterstellte natürliche Personen, die 
Zugang zu personenbezogenen Daten 
haben, diese nur auf Anweisung des 
Verantwortlichen verarbeiten (Art. 32, 
Abs. 4 DS-GVO) 


Die weiteren erforderlichen Maß- 
nahmen sind von den Verantwortlichen 
selbst festzulegen. Hierzu ist eine Risi- 
koabschätzung und in vielen Fällen auch 
eine  Datenschutz-Folgenabschätzung 
gemäß Art. 35 DS-GVO durchzuführen. 


2.3.1 Anforderungen bei lokalen 
Systemen 


Wird ein lokales System von einem 
privaten Nutzer ausschließlich für per- 
sönliche oder familiäre Zwecke genutzt, 
so unterliegt dieser privater Nutzer nicht 
der DS-GVO sondern ist vielmehr — 
wenn z.B. zu Wartungszwecken von 
einem Dienstleister Nutzungsdaten aus- 
gelesen werden - als betroffene Person 
zu betrachten. 

Wird dagegen ein lokales System im 
Unternehmen eingesetzt, so ist es in Be- 
zug auf die Nutzungsdaten der Nutzer 
dieses Systems als Verantwortlicher an- 
zusehen. Ein etwaiger Dienstleister, der 
das System im Auftrag des Unternehmens 
wartet oder administriert, wäre dann ein 
Auftragsverarbeiter im Sinne des Art. 28 
DS-GVO, der die Daten nur auf Weisung 
des Verantwortlichen verarbeiten oder 
nutzen darf. In diesem Fall haben Verant- 
wortlicher und Auftragsverarbeiter die 
datenschutzrechtlichen Anforderungen, 
die sich aus der Auftrags(daten)verarbei- 
tung ergeben, zu berücksichtigen. 

Die DS-GVO richtet sich nicht direkt 
an Hersteller von IT-Systemen. Aber Er- 
wägungsgrund 78 der DS-GVO fordert: 

„In Bezug auf Entwicklung, Gestal- 

tung, Auswahl und Nutzung von An- 
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wendungen, Diensten und Produkten, 
die entweder auf der Verarbeitung von 
personenbezogenen Daten beruhen 
oder zur Erfüllung ihrer Aufgaben 
personenbezogene Daten verarbeiten, 
sollten die Hersteller der Produkte, 
Dienste und Anwendungen ermutigt 
werden, das Recht auf Datenschutz bei 
der Entwicklung und Gestaltung der 
Produkte, Dienste und Anwendungen 
zu berücksichtigen und unter gebüh- 
render Berücksichtigung des Stands 
der Technik sicherzustellen, dass die 
Verantwortlichen und die Verarbeiter 
in der Lage sind, ihren Datenschutz- 
pflichten nachzukommen.“ (Erwä- 
gungsgrund 78, Satz 4, DS-GVO) 


Wer die Hersteller hierzu wie ermu- 
tigen sollte, lässt die DS-GVO offen. 
Zumindest für Mobile-Access-Systeme, 
die (auch) im Unternehmensumfeld ein- 
setzbar sein sollten, sollten sich die Her- 
steller diesen Satz zu Herzen nehmen. 
Schließlich stellt es einen teuren Buß- 
geldtatbestand dar, wenn ein einsetzen- 
des Unternehmen die Prinzipien des Da- 
tenschutzes durch Technikgestaltung und 
durch datenschutzfreundliche Voreinstel- 
lungen nicht nachweislich ausreichend 
berücksichtigt hat. Durch entsprechende 
Zertifizierungen, die die DS-GVO aus- 
drücklich vorsieht, können Hersteller den 
Unternehmen bei diesem Nachweis hel- 
fen. Auch den privaten Nutzern würden 
solche Zertifizierungen helfen, bei den 
Anbietern von Mobile-Access-Systemen 
die Spreu vom Weizen zu trennen. 

Bei lokalen Systemen (vgl. Bild 2) 
sind in erster Linie drei Angriffsziele 
abzusichern: 
1.Die App auf dem Mobile Device, 
2.die Verbindung zwischen dem Mobile 

Device und dem Schließsystem und 
3.das Schließsystem selbst. 


Bei der Gestaltung der Mobile-Access- 
App istzu berücksichtigen, dass das Mobi- 
le Device als unsicheres Gerät einzustufen 
ist. Die von den derzeitigen Standardbe- 
triebssystemen angebotenen Sicherheits- 
funktionen können nicht als ausreichend 
angesehen werden, wie die Veröffentli- 
chung immer neuer Sicherheitslücken 
zeigt. Von daher ist es wichtig, dass in der 
App selbst weitergehende Schutzmecha- 
nismen eingebaut werden. So muss unter 
anderem sichergestellt sein, dass die App 


selbst mit einem PIN oder einem Passwort 
vor unbefugter Nutzung geschützt werden 
kann und dass die gespeicherten Daten 
wirksam verschlüsselt sind. 

In Bezug auf die Verbindung zwischen 
dem Mobile Device und dem Schließ- 
system muss unter anderem sicherge- 
stellt werden, dass die Datenübertragung 
verschlüsselt erfolgt und dass sich so- 
wohl das Mobil Device gegenüber dem 
Schließsystem als auch das Schließsys- 
tem sich gegenüber dem Mobile Devise 
durch Einsatz entsprechender kryptogra- 
phischer Verfahren authentifiziert. 

Das Schließsystem ist nicht nur — wie 
auch schon bisher — gegen physische 
Manipulationen zu schützen, sondern es 
ist auch gegen IT-technische Angriffe zu 
schützen. Dabei ist zu berücksichtigen, 
dass gerade bei Schließsystemen in ab- 
gelegenen oder unbeobachteten Objek- 
ten Brute-Force-Angriffe leicht möglich 
sind. Daher sind insbesondere aus an- 
deren Zusammenhängen im Bereich der 
Authentifizierung bereits bekannte Ver- 
fahren einzusetzen. Hierzu gehört z.B. 
eine vorübergehende Sperre nach drei 
fehlerhaften Authentifizierungsversu- 
chen, die nach jedem weiteren fehlerhaf- 
ten Authentifizierungsversuch verlängert 
wird. Auch muss sichergestellt werden, 
dass ein abgehörter verschlüsselter Be- 
fehl zum Öffnen des Schließsystems 
nicht durch ein Aussenden einer Kopie 
dieses verschlüsselten Befehls zu einem 
späteren Zeitpunkt zum erneuten Öffnen 
des Schließsystems führt. 

Bei der Auswahl der Verfahren ist so- 
weit wie möglich sicherzustellen, dass 
ein erfolgreicher Angriff auf ein lokales 
Mobile-Access-System eines Herstellers 
nicht dazu führt, dass alle anderen Mobi- 
le-Access-Systeme der gleichen Baurei- 
he ebenfalls geknackt sind. „Security by 
Obscurity“ sollte daher nicht zum Einsatz 
kommen. Denn Angreifer können derar- 
tige Systeme erwerben und dann ganz 
in Ruhe analysieren. Wirksame krypto- 
graphische Methoden, mit ausreichen- 
der Schlüssellänge und (automatischem) 
regelmäßigen Schlüsselwechsel sind da 
wesentlich zielführender. 


2.3.2 Anforderungen bei server- 
basierten Systemen 


Bei serverbasierten Mobile-Access- 
Systemen (vgl. Bild 3), die von Herstel- 
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lern oder Dienstleistern betrieben wer- 
den, sind die Hersteller oder Betreiber 
der Systeme als Verantwortliche in der 
Pflicht, die erforderlichen technischen 
und organisatorischen Maßnahmen zu 
ergreifen, die erforderlich sind, um die 
oben genannten Schutzziele zu erreichen. 

Neben den im Abschnitt zu den lo- 
kalen Systemen (s.o., 2.4.1) genannten 
Anforderungen kommen für die Betrei- 
ber von serverbasierten Mobile-Access- 
Systemen weitere Anforderungen hinzu. 
Die Gewährleistung der Verbindungssi- 
cherheit ist komplexer, da mehr Kom- 
ponenten als bei einem lokalen System 
beteiligt sind. 

Der Betreiber des serverbasierten 
Mobile-Access-Systems wird selbst zu 
einem interessanten Angriffsziel und 
zwar zu einem deutlich interessanteren 
als ein einzelnes lokales Schließsystem. 
Ein Angreifer, der es schaffen sollte in 
die dortigen Server einzudringen, hätte 
— je nach Ausgestaltung des Systems — 
eventuell die Möglichkeit nicht nur ein 
Schließsystem zu öffnen, sondern viele 
verschiedene Schließsysteme an un- 
terschiedlichen Orten. Von daher sind 
die Daten auf den Server - trotz ihres 
Schutzes durch Firewall und Intrusion 
Detection Systemen — so zu verschlüs- 
seln, dass nur die befugten Personen sie 
nutzen können. 

Eine Risiko- und eine Datenschutz- 
Folgenabschätzung wird für einen Be- 
treiber eines serverbasierten Mobile- 
Access-Systems Pflicht sein. Auf dieser 
Grundlage sollte ein umfassendes Daten- 
schutz- und IT-Sicherheitskonzept, dass 
alle oben genannten Schutzziele umfas- 


Datenschutz 
Nachrichten 


Datenschutz 
Nachrichten 


send berücksichtigt und die entsprechen- 
den Maßnahmen zur Risikovermeidung 
und -minimierung sowie zur Umsetzung 
des Datenschutzes vorsieht. 

Ein ganz wichtiger Aspekt ist auch die 
Sicherstellung der Verfügbarkeit der ser- 
verbasierten Systeme und der entspre- 
chenden Verbindungen. 

Serverseitig ist sicherzustellen, dass 
eine nahezu 100%ige Verfügbarkeit si- 
chergestellt wird. Alternativ müsste das 
Mobile-Access-System so gestaltet wer- 
den, dass zumindest eine Öffnung und 
Verriegelung der Schließsysteme über 
eine lokale Verbindung (z.B. Bluetooth, 
NFC) möglich ist. 

Bezüglich der Datenverbindungen 
ist unter anderem zu überlegen, ob als 
Fallback zur Internetverbindung zumin- 
dest eine Öffnung und Verriegelung der 
Schließsysteme über eine SMS-basierte 
Lösung angeboten wird. Dies würde 
bedingen, dass ein im Haus oder Auto 
verbautes System auch über ein SIM- 
Karten-Modul verfügt, das bei Ausfall 
der Internetverbindung genutzt werden 
kann. 


2.4 Rechte der betroffenen Personen 


Es würde den Rahmen dieses Artikels 
sprengen, ausführlich und in aller Tiefe 
auf die Rechte der betroffenen Personen 
einzugehen. Es wird aber deutlich, dass 
die Umsetzung dieser Rechte bereits 
beim Entwurf und bei der Gestaltung 
der Mobile-Access-Systeme zu berück- 
sichtigen sind. 

Die wesentlichen sich aus der DS- 
GVO ergebenden Rechte der betrof- 
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fenen Personen in Bezug auf Mobile- 
Access-Systeme sind: 

° Informationspflichten (Art. 13, 14 
DS-GVO) 

Auskunftsrecht — Recht auf Kopie 
(Art. 15 DS-GVO) 

Recht auf Berichtigung (Art. 16 DS- 
GVO) 

Recht auf Löschung (‚Recht auf Ver- 
gessenwerden‘“) (Art. 17 DS-GVO) 
Recht auf Einschränkung der Verar- 
beitung (Art. 18 DS-GVO) 
Mitteilungspflichten an Dritte über 


Berichtigung, Löschung und Ein- 
schränkung der Verarbeitung (Art. 19 
DS-GVO) 

°e Recht auf Datenübertragbarkeit 


(Art. 20 DS-GVO) 
Widerspruchsrecht (Art. 21 DS-GVO) 
Meldung von Datenschutzverletzun- 
gen (Art. 34 DS-GVO) 


3 Fazit 


Es liegt — schon aus Akzeptanzgrün- 
den — im Interesse der Hersteller und 
Anbieter von Mobile-Access-Systemen 
transparent über die vorgesehenen Ver- 
arbeitungen personenbezogener Daten 
zu informieren und standardmäßig nur 
die personenbezogenen Daten zu verar- 
beiten, die für den Betrieb der Systeme 
erforderlich sind. Falls Einwilligungen 
für weitergehende Verarbeitungen (z.B. 
für Komfortfunktionen) eingeholt wer- 
den sollen, müssen diese tatsächlich 
freiwillig sein und auf einfache Art und 
Weise widerrufen werden können. 


2 Datenschutz 
Nachrichten 


online zu bestellen unter: www.datenschutzverein.de/dana 
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Werner Hülsmann 


Technischer Datenschutz und Datenschutz- 


Folgenabschätzung in der DS-GVO 


1 Einleitung 


Eine der wesentlichen Änderungen, 
die sich durch die EU-Datenschutz- 
grundverordnung (DS-GVO) ergeben, 
ist die deutliche Ausweitung der An- 
forderungen an den technischen Da- 
tenschutz. Dies wird u.a. durch die 
Einführung der Datenschutz-Folgenab- 
schätzung und durch ihre Ausgestaltung 
unterstrichen. Beide Aspekte sollen im 
Folgenden etwas ausführlicher darge- 
stellt werden. 


2 Technischer Datenschutz — Da- 
tenschutz durch Technikgestaltung 
und durch datenschutzfreundliche 
Voreinstellungen - Sicherheit der 
Verarbeitung 


2.1 Vergleichende Gegenüberstellung BDSG-alt, DS-GVO und BDSG-neu 


BDSG-alt DS-GVO (Art.) und BDSG-neu ($) 
IS Inhalt Art. ‘Abs. Inhalt ERW 
8 9 Anforderung technische und organisatori- Art. |1 - 3! Anforderung, TOM zur Sicherstel- 74 - 78 
sche Maßnahmen (TOM) zur Sicherstel- 24 lung DS-GVO-konformer Verarbei- 
lung des Datenschutzes zu ergreifen tung zu ergreifen 
8 3a Datenvermeidung und Datensparsamkeit Art. 1 Datenschutz durch Technikgestal- |78 
25 tung 
Art. 2 Datenschutz durch datenschutz- 
25 freundliche Voreinstellung. 
Art. 3 Genehmigtes Zertifizierungsver- 
25 fahren als Nachweis der Anforde- 
rungen aus Abs. 1 und 2 
Anlage Schutzziele der TOM Art. 1 Datenschutzgrundsätze des Art. 5 |83 
zu8S9 125 sind Schutzziele der TOM 
Art. 11 (Weitere) Schutzziele der TOM 
32 
Art. 2 Risikoabschätzung 
32 
Art. 3 Verhaltensregeln und Zertifizie- 
32 rungsverfahren als Nachweis der 
Umsetzung 
8 5 erpflichtung auf das Datengeheimnis Art. 4 Sicherstellung, dass Mitarbeiter 
32 Daten nur weisungsgebunden ver- 
arbeiten 
822 2 Maßnahmen bei der Verarbeitung 
besonderer Kategorien personen- 
bezogener Daten 


2.2 Abweichung altes vs. neues Recht 


Die meisten Anforderungen aus der 
DS-GVO an den technischen Daten- 
schutz — nämlich Datenminimierung, 
Datenschutz durch Technikgestaltung 
und Umsetzung technischer und or- 
ganisatorischer Maßnahmen - sind 
grundsätzlich bereits aus dem BDSG- 
alt bekannt. So fordert der $ 3a BDSG- 
alt bereits „so wenig personenbezoge- 
ne Daten wie möglich zu erheben, zu 
verarbeiten oder zu nutzen“. Auch „die 
Auswahl und Gestaltung von Datenver- 
arbeitungssystemen“ hat sich an diesem 
Ziel auszurichten. Die Anforderung an 
die verantwortliche Stelle und einen 
etwaigen Auftragnehmer, geeignete 
technische und organisatorische Maß- 
nahmen zu treffen ist im $ 9 BDSG-alt 
nebst Anlage zu $ 9 vorhanden. Die 
Forderung des Art. 25 Abs. 2 — Daten- 
schutz durch datenschutzfreundliche 
Voreinstellung — ist dagegen nicht aus- 
drücklich im BDSG-alt enthalten. Er- 
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wägungsgrund 78 der DS-GVO spricht 
davon, dass Hersteller von Produkten, 
Diensten und Anwendungen „ermutigt 
werden“ sollen, den Datenschutz be- 
reits „bei der Entwicklung und Gestal- 
tung ihrer Produkte, Dienste und An- 
wendungen zu berücksichtigen.“ 

Während Verstöße gegen die $$ 3a 
und 9 (nebst Anlage zu $ 9) BDSG-alt 
für sich genommen bisher keinen Buß- 
geldtatbestand darstellen, sind Verstö- 
Be gegen die Art. 25 und 32 DS-GVO 
mit einem Bußgeld der Kategorie 10 
Mio./2% bedroht. Verstöße gegen Art. 
5 DS-GVO sind mit einem Bußgeld der 
Kategorie 20 Mio./4% bedroht. 

Die Anforderung aus Art. 24 Abs. 2 
DS-GVO an Verantwortliche erforder- 
lichenfalls geeignete Datenschutzrege- 
lungen und -strategien einzuführen und 
umzusetzen, ist im BDSG-alt nicht aus- 
drücklich vorhanden. Gleichwohl wird 
in der Anlage zu $ 9 Satz 1 BDSG-alt 
gefordert, dass „die innerbehördliche 
oder innerbetriebliche Organisation so 


zu gestalten [ist], dass sie den besonde- 
ren Anforderungen des Datenschutzes 
gerecht wird.“ Dies impliziert auch die 
erforderlichen unternehmensinternen 
Datenschutzregularien. 

Neu ist in der DS-GVO die ausdrück- 
liche Erwähnung, dass genehmigte Ver- 
haltensregeln und Zertifizierungsverfah- 
ren dem Nachweis der Umsetzung die- 
ser Anforderungen dienen können. 

Formal fällt zwar die Verpflichtung 
auf das Datengeheimnis aus $ 5 BDSG- 
alt weg. Allerdings fordert Art. 32 Abs. 4 
DS-GVO, dass der Verantwortliche und 
der Auftragsverarbeiter „Schritte un- 
ternehmen“, „um sicherzustellen, dass 
ihnen unterstellte natürliche Personen 
die Zugang zu personenbezogenen Da- 
ten haben, diese nur auf Anweisung des 
Verantwortlichen verarbeiten“. 

Die Formulierung und die Inhalte der 
Schutzziele hat sich gegenüber den bis- 
herigen acht Schutzzielen der Anlage zu 
8 9 Abs. 1 BDSG-alt wesentlich geän- 
dert. Die Schutzziele technischer und 
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organisatorischer Maßnahmen verteilen 
sie auf mehrere Regelungen der DS- 
GVO. Diese sind im Folgenden zusam- 
mengefasst dargestellt. 

Art. 25. Abs. 1 fordert die Umset- 
zung technischer und organisatorischer 
Maßnahmen zur Umsetzung der Da- 
tenschutzgrundsätze. Diese sind gemäß 
Art.5 Abs. 1 DS-GVO: 
a.Rechtmäßigkeit, Verarbeitung nach 

Treu und Glauben, Transparenz, 

b. Zweckbindung, 

c. Datenminimierung, 

d.Richtigkeit, 

e. Speicherbegrenzung 
keitsgebot) und 

f. Integrität und Vertraulichkeit. 


(Erforderlich- 


Ergänzend fordert Art. 5 Abs. 2 DS-GVO 
die Einhaltung der Rechenschaftspflicht. 
Art. 32 Abs. 1 DS-GVO wiederholt 
zum einen Schutzziele aus den Grund- 
sätzen und nennt zum anderen weitere 
Schutzziele: 
« Vertraulichkeit, Integrität, Verfügbar- 
keit und Belastbarkeit beim Betrieb 
(Art. 32, Abs. 1 Buchst. b DS-GVO) 


« Verfügbarkeit bei einem physischen 
odertechnischenZwischenfall(Art. 32, 
Abs. I Buchst. c DS-GVO) 


Des Weiteren werden in Art. 32 DS- 
GVO auch konkrete Maßnahmen zur 
Erreichung dieser Schutzziele benannt: 
° Pseudonymisierung und Verschlüsse- 

lung (Art. 32, Abs. 1 Buchst. a DS- 

GVO) 

« Verfahren zur regelmäßigen Überprü- 
fung, Bewertung und Evaluierung der 

Wirksamkeit der technischen und or- 


ganisatorischen Maßnahmen (Art. 32, 
Abs. 1 Buchst. d DS-GVO) 
Verantwortliche und Auftraggeber 
müssen sicherzustellen, dass ihnen 
unterstellte natürliche Personen, die 
Zugang zu personenbezogenen Daten 
haben, diese nur auf Anweisung des 
Verantwortlichen verarbeiten (Art. 32, 
Abs. 4 DS-GVO) 


Zur Veranschaulichung sind nachfol- 
gend die Schutzziele der DS-GVO auf- 
geführt: 


Schutzziel Fundstelle DS-GVO 

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben [Art. 5, Abs. 1 Buchst. a 
|Transparenz [Art. 5, Abs. 1 Buchst. a, 

/Art. 13 und Art. 14 

IZweckbindung [Art. 5, Abs. 1 Buchst. b 
Datenminimierung [Art. 5, Abs. 1 Buchst. c 
Speicherbegrenzung (Erforderlichkeitsgebot) Art. 5, Abs. 1 Buchst. e 
Richtigkeit [Art. 5, Abs. 1 Buchst. d 
Integrität [Art. 5, Abs. 1 Buchst. f, 


[Art. 32, Abs. 1 Buchst. b 


|Vertraulichkeit 


[Art. 5, Abs. 1 Buchst. f, 
[Art. 32, Abs. 1 Buchst. b 


Verfügbarkeit und Belastbarkeit beim Betrieb 


[Art. 32, Abs. 1 Buchst. b 


|Verfügbarkeit bei einem physischen oder technischen Zwischenfall Art. 32, Abs. 1 Buchst. c 


2.3 Maßnahmen bei der Verarbeitung 
besonderer Kategorien personenbe- 
zogener Daten 


8 22 Abs. 2 des am 25. Mai 2018 in 
Kraft tretenden Bundesdatenschutzge- 
setz (BDSG-neu) verpflichtet Verant- 
wortliche, die besondere Kategorien 
personenbezogener Daten verarbeiten, 
„angemessene und spezifische Maß- 
nahmen zur Wahrung der Interessen der 
betroffenen Person“ umzusetzen. Zu 
diesen Maßnahmen „können (..) insbe- 
sondere gehören: 

l. technisch organisatorische Maßnah- 
men, um sicherzustellen, dass die 
Verarbeitung gemäß der Verordnung 
(EU) 2016/679 [das ist die DS-GVO] 
erfolgt, 

2. Maßnahmen, die gewährleisten, dass 
nachträglich überprüft und festge- 
stellt werden kann, ob und von wem 
personenbezogene Daten eingege- 
ben, verändert oder entfernt worden 
sind, 

3. Sensibilisierung der an Verarbei- 
tungsvorgängen Beteiligten, 

4. Benennung einer oder eines Daten- 
schutzbeauftragten, 
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5. Beschränkung des Zugangs zu den 
personenbezogenen Daten innerhalb 
der verantwortlichen Stelle und von 
Auftragsverarbeitern, 

6. Pseudonymisierung personenbezoge- 
ner Daten, 

7. Verschlüsselung personenbezogener 
Daten, 

8. Sicherstellung der Fähigkeit, Vertrau- 
lichkeit, Integrität, Verfügbarkeit und 
Belastbarkeit der Systeme und Diens- 
te im Zusammenhang mit der Ver- 
arbeitung personenbezogener Daten 
einschließlich der Fähigkeit, die Ver- 
fügbarkeit und den Zugang bei einem 
physischen oder technischen Zwi- 
schenfall rasch wiederherzustellen, 

9. zur Gewährleitung der Sicherheit der 
Verarbeitung die Einrichtung eines 
Verfahrens zur regelmäßigen Über- 
prüfung, Bewertung und Evaluierung 
der Wirksamkeit der technischen und 
organisatorischen Maßnahmen oder 

10.spezifische Verfahrensregelungen, 
die im Fall einer Übermittlung oder 
Verarbeitung für andere Zwecke die 
Einhaltung der Vorgaben dieses Ge- 
setzes sowie der Verordnung (EU) 
2016/679 sicherstellen.“ 


Bei der Entscheidung über die Ergrei- 

fung der Maßnahmen sind 

« der Stand der Technik, 

° die Implementierungskosten und 

° der Art, der Umfang, die Umstände 
und die Zwecke der Verarbeitung so- 
wie 

° die unterschiedliche Eintrittswahr- 
scheinlichkeit und Schwere der mit 
der Verarbeitung verbundenen Risi- 
ken für die Rechte und Freiheiten na- 
türlicher Personen 


zu berücksichtigen. Dies bedingt, das 
die getroffenen Maßnahmen in regelmä- 
Bigen Abständen zu überprüfen sind, da 
sich der Stand der Technik fortentwickelt 
und auch immer neue Angriffsmöglich- 
keiten entwickelt werden, was eine Neu- 
bewertung insbesondere der Eintritts- 
wahrscheinlichkeit und der Schwere der 
Risiken erfordert. 


2.4 Rechtliche Bewertung / 
Interpretation 


Die Unternehmen haben bei der Verar- 


beitung personenbezogener Daten darauf 
zu achten, dass die Software und Syste- 
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me über datenschutzfreundliche Vorein- 
stellungen verfügen. D.h. beispielsweise, 
dass Einwilligungen oder Zustimmungen 
— z.B. zur Lokalisierung — standardmä- 
Big deaktiviert sein müssen und Nutzer 
und Nutzerinnen diese — wenn sie die 
entsprechenden Dienste nutzen wollen — 
ausdrücklich freigeben müssen. 

Darüber hinaus sollten die Unterneh- 
men auf Softwarehersteller und Dienst- 
leister hinwirken, dass von diesen ange- 
botene Software und Dienstleistungen 
datenschutzkonform entwickelt werden. 
Dies kann durch entsprechende Anfor- 
derungen bei der Ausschreibung oder der 
Angebotseinholung unterstützt werden. 

Bezüglich der technischen und or- 
ganisatorischen Maßnahmen reicht es 
künftig nicht mehr aus, die erforderli- 
chen Maßnahmen zur Sicherstellung 
des Datenschutzes zu ergreifen. Viel- 
mehr ist es künftig erforderlich die 
ergriffenen Maßnahmen zu dokumen- 
tieren und den Nachweis zu erbringen, 
dass sie regelmäßigen daraufhin über- 
prüft werden, ob sie noch ausreichend 
sind und noch dem Stand der Technik 
entsprechen. 


2.5 Handlungsbedarf 


In Verbindung mit Art 5 Abs. 2 DS- 
GVO _ (,„Rechenschaftspflicht“) ist es 
— auch zur Vermeidung von Bußgeldri- 
siken — in den Unternehmen zwingend 
erforderlich, zum einen dafür zu sorgen, 
dass die erforderlichen technischen und 
organisatorischen Maßnahmen ergriffen 
werden und zum anderen dafür zu sor- 
gen, dass diese Maßnahmen ausreichend 
dokumentiert werden um jederzeit nach- 
weisen zu können, dass die getroffenen 
technischen und organisatorischen Maß- 
nahmen ausreichend sind und dem ak- 
tuellen Stand der Technik entsprechen. 
Folgender konkreter Handlungsbedarf ist 
gegeben: 


« Prüfen, ob in allen Anwendungen nur 
die Daten erhoben werden, die für die 
jeweiligen Zwecke erforderlich sind. 

« Prüfen, ob in Eingabemasken und For- 
mularen freiwillige Angaben deutlich 
als solche gekennzeichnet sind. 

« Prüfen, ob in Eingabemasken An- 
kreuzfelder für Einwilligungen und 
Nutzungszustimmungen nicht voran- 
gekreuzt sind. 

« Prüfen, ob sichergestellt ist, dass Da- 
ten, die nur aufgrund einer Einwilli- 
gung verarbeitet werden dürfen, auch 
nur bei vorliegender wirksamer Ein- 
willigung verarbeitet werden. 

« Prüfung, ob die technischen und orga- 
nisatorischen Maßnahmen - inklusive 
der entsprechenden Dienstanweisun- 
gen — dem aktuellen Stand der Technik 
entsprechen sowie unter Berücksichti- 
gung der neu formulierten Schutzzie- 
le sowie der Risiken angemessen und 
ausreichend sind. 

° Gegebenenfalls Anpassung der Maß- 
nahmen. 


« Prüfung und gegebenenfalls Aktuali- 
sierung der Dokumentation der techni- 
schen und organisatorischen Maßnah- 
men zum Datenschutz. 

° Sicherstellen, dass eine regelmäßige 
Überprüfung dieser Maßnahmen er- 
folgt. 

° Sollte bisher noch Datensicherheits- 
konzept erstellt worden sein, empfiehlt 
sich folgende Vorgehensweise: 

- Schutzbedarfsfeststellung, diese ist 
zu dokumentieren. 

- Risikobewertung, diese ist ebenfalls 
zu dokumentieren. 

- Festlegen, welche technischen und 
organisatorischen Maßnahmen er- 


forderlich sind. 


- Umsetzung der Maßnahmen. 


- Dokumentation der erforderlichen 


und der getroffenen Maßnahmen. 


3 Datenschutz-Folgenabschätzung 


3.1 Vergleichende Gegenüberstellung 


BDSG-alt und DS-GVO 


BDSG-alt DS-GVO 
88 Abs. Inhalt Art. Abs. Inhalt ERW 
Ad 5 Pflicht zur Vorabkontrolle - |35 1 Pflicht zu DS-Folgenabschätzung allgemein, |84, 89, 
Ausnahmen \zuständig: Verantwortlicher 90, 92 
4d 6 Zuständig für die Vorabkon- 2 Verantwortlicher holt Rat des DSB ein 
trolle: DSB 
3 Pflicht zu DS-Folgenabschätzung, konkret 91? 
Fälle 
4 Liste der Datenschutzaufsichtsbehörde von 
IVerarbeitungstätigkeiten, bei denen eine 
Datenschutz-Folgeabschätzung erforderlich 
ist 
5 Mögliche Liste der Datenschutzaufsichtsbe- 
Ihörde von Verarbeitungstätigkeiten, bei de- 
nen keine Datenschutz-Folgeabschätzung 
erforderlich ist 
6 Kohärenzverfahren für die Listen nach 
Abs. 5 und 6 
7 Inhalt der Datenschutz-Folgenabschätzung 
18 Einhaltung genehmigter Verhaltensregeln 
sind zu berücksichtigen 
9 Einholung des Standpunkts der betroffenen 
Personen oder ihrer Vertreter 
10 Ausnahmen von den Abs. 1 bis 7 
11 Überprüfung, ob Verarbeitung gemäß der 
Datenschutz-Folgenabschätzung durchge- 
führt wird 


3.2 Abweichung altes vs. neues Recht 


Die Regelung zur Datenschutz-Fol- 
genabschätzung aus Art. 35 DS-GVO 
kann im weitesten Sinne als Nachfol- 
geregelung der Regelung zur Vorab- 
kontrolle aus $ 4d Abs. 5 und 6 BDSG- 
alt angesehen werden. Aus der bisher 
bekannten Vorabkontrolle wird quasi 
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— vereinfacht ausgedrückt — die Daten- 
schutz-Folgenabschätzung. 

Ein wesentlicher Unterschied zwi- 
schen der künftigen Datenschutz-Fol- 
genabschätzung und der bisherigen Vor- 
abkontrolle ist der Umstand, dass nach 
dem bisherigen Recht der/die Daten- 
schutzbeauftragte für die Vorabkontrolle 
zuständig ist und damit eine verbindliche 


Entscheidung über die datenschutzrecht- 
liche Zulässigkeit eines Verfahrens zu 
treffen hat. Auch die Möglichkeit des 
Vorstandes oder der Geschäftsführung, 
sich über die Entscheidung des/der Da- 
tenschutzbeauftragten hinwegsetzen, 
ändert nichts an der Tatsache, dass nach 
dem bisherigen Recht der/die Daten- 
schutzbeauftragte, dort wo eine Vorab- 
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kontrolle gesetzlich gefordert ist, die 
Entscheidung über die rechtliche Zu- 
lässigkeit einer Verarbeitung zu treffen 
und zu verantworten hat. 

Die Datenschutz-Folgenabschätzung 
nach der DS-GVO ist demgegenüber 
von dem Verantwortlichen (im bishe- 
rigen Sprachgebrauch: von der verant- 
wortlichen Stelle) durchzuführen. Der 
Verantwortliche hat nur noch den Rat 
des/der Datenschutzbeauftragten, so- 
fern ein/e solche/r benannt wurde, ein- 
zuholen?. 

Ein weiterer wesentlicher Unter- 
schied ist darin zu sehen, dass das bis- 
herige BDSG-alt keinerlei Regelungen 
zur Ausgestaltung der Vorabkontrolle 
enthielt, während Art. 35 Abs. 7 DS- 
GVO regelt, dass die Datenschutz-Fol- 
genabschätzung zumindest folgende 
Punkte enthalten muss: 
a.„eine systematische Beschreibung 

der geplanten Verarbeitungsvorgän- 

ge und der Zwecke der Verarbeitung, 
gegebenenfalls einschließlich der 
von dem Verantwortlichen verfolgten 
berechtigten Interessen; 

b.eine Bewertung der Notwendigkeit 
und Verhältnismäßigkeit der Verar- 
beitungsvorgänge in Bezug auf den 

Zweck; 
c.eine Bewertung der Risiken für die 

Rechte und Freiheiten der betroffe- 

nen Personen gemäß Absatz 1 und 
d.die zur Bewältigung der Risiken ge- 

planten Abhilfemaßnahmen, ein- 
schließlich Garantien, Sicherheitsvor- 
kehrungen und Verfahren, durch die 
der Schutz personenbezogener Daten 
sichergestellt und der Nachweis dafür 
erbracht wird, dass diese Verordnung 
eingehalten wird, wobei den Rechten 
und berechtigten Interessen der be- 
troffenen Personen und sonstiger Be- 
troffener Rechnung getragen wird.“ 


Des Weiteren ist in Abs. 8 ausdrück- 
lich geregelt, dass die „Einhaltung ge- 
nehmigter Verhaltensregeln (...) bei 
der Beurteilung der Auswirkungen der 
(...) durchgeführten Verarbeitungsvor- 
gänge, insbesondere für die Zwecke 
einer Datenschutz-Folgenabschätzung, 
gebührend zu berücksichtigen“ ist. 

Eine weitere wichtige Regelung fin- 
det sich in Art. 35 Abs. 9 DS-GVO: 
„Der Verantwortliche holt gegebenen- 
falls* den Standpunkt der betroffenen 
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Personen oder ihrer Vertreter zu der be- 
absichtigten Verarbeitung unbeschadet 
des Schutzes gewerblicher oder öffent- 
licher Interessen oder der Sicherheit 
der Verarbeitungsvorgänge ein.“ 


Daraus folgt, dass in der Regel bei 
der Einführung neuer IT-technischer 
Systeme, die eine Überwachung der 
Beschäftigten ermöglichen, der Verant- 
wortliche — also der Arbeitgeber — bei 
der Durchführung der Datenschutz- 
Folgenabschätzung nicht nur den Rat 
des/der benannten Datenschutzbeauf- 
tragten einholen muss, sondern — un- 
beschadet der Mitbestimmungsrechte 
— auch den Standpunkt des Betriebs- 
oder Personalrates. Sofern es sich bei 
den betroffenen Personen um Verbrau- 
cher handelt, kommen hier auf die Ver- 
braucherschutzverbände, aber auch auf 
Vereine, zu deren Themen u.a. der Da- 
tenschutz aus Verbrauchersicht gehört, 
neue Aufgaben und eine erhöhte Ver- 
antwortung Zu. 

Hinzugekommen ist die Verpflich- 
tung der Datenschutz-Aufsichtsbehör- 
den, eine Liste zu erstellen, die dieje- 
nigen Verarbeitungsvorgänge enthält, 
für die eine Datenschutz-Folgenab- 
schätzung verpflichtend durchzuführen 
ist. Darüber hinaus kann die Daten- 
schutz-Aufsichtsbehörde eine weitere 
Liste erstellen, die Arten von Verarbei- 
tungsvorgängen enthält, für die keine 
Datenschutz-Folgenabschätzung erfor- 
derlich ist. 


3.3 Rechtliche Bewertung / 
Interpretation 


Nach derzeitigem Kenntnisstand (ins- 
besondere Aufgrund von Aussagen von 
Vertreter/inne/n der Aufsichtsbehörden 
auf diversen Veranstaltungen) ist davon 
auszugehen, dass eine Datenschutz- 
Folgenabschätzung für Verarbeitungen, 
die bereits vor dem Stichtag 25. Mai 
2018 begonnen wurden, aus Sicht der 
Aufsichtsbehörden dann nicht erforder- 
lich ist, wenn für diese Verarbeitungen 
bereits eine Vorabkontrolle nach $ 4d 
Abs. 5,6 BDSG-alt erfolgt ist und das 
Ergebnis derart dokumentiert wurde, 
dass das Ergebnis der Vorabkontrolle 
nachvollziehbar ist. 

Während nach dem BDSG-alt die 
Nichtdurchführung einer erforderli- 


chen Vorabkontrolle zur Unzulässigkeit 
dieses Verfahrens führte und damit die 
damit durchgeführten Verarbeitungen 
personenbezogener Daten als unzu- 
lässige Datenverarbeitungen bußgeld- 
bewehrt waren, ist nach der DS-GVO 
bereits eine nicht durchgeführte aber 
erforderliche Datenschutz-Folgenab- 
schätzung selbst ein Verstoß gegen die 
DS-GVO, der gemäß Art. 83 Abs. 4 
DS-GVO mit einem Bußgeld in der 
Kategorie bis zu 10 Mio. € /2 % vom 
Weltvorjahresumsatz geahndet wer- 
den kann. Hinzu kommt der mögliche 
Verstoß einer unzulässigen oder unzu- 
reichend abgesicherten Datenverarbei- 
tung, der ergänzend mit einem Bußgeld 
in der Kategorie bis zu 20 Mio. € / 4% 
vom Weltvorjahresumsatz geahndet 
werden kann. 

Darüber hinaus führt bei der Daten- 
schutz-Aufsichtsbehörde die Nicht- 
nachweisbarkeit der Entscheidung, ob 
für eine Verarbeitungstätigkeit eine 
Datenschutz-Folgenabschätzung vor- 
zunehmen ist oder nicht, und bei deren 
Erforderlichkeit der fehlende Nachweis 
über die Durchführung dieser Daten- 
schutz-Folgenabschätzung mit aller 
Wahrscheinlichkeit zu einem erhöhten 
Interesse an den betroffenen Verfahren. 
Dies kann dann wiederum zu vertieften 
Prüfungen seitens der Datenschutz- 
Aufsichtsbehörde mit der Folge weite- 
rer Sanktionen führen. 

Auch daher ist es wichtig, in den Un- 
ternehmen dafür Sorge zu tragen, dass 
alle nach derzeitigem Datenschutzrecht 
erforderlichen Vorabkontrollen durch 
den/die Datenschutzbeauftragte/n zeitnah 
durchgeführt werden und dem/der Daten- 
schutzbeauftragten die hierfür erforderli- 
che Zeit und Unterstützung zu gewähren. 


3.4 Handlungsbedarf in den 
Unternehmen 


Es ist zu prüfen, ob für alle Verfah- 
ren, für die bereits nach geltendem 
Recht eine Vorabkontrolle erforderlich 
ist, eine durchgeführt wurde und ob 
diese in ausreichendem Detailgrad do- 
kumentiert wurden (Stichwort: Nach- 
vollziehbarkeit des Ergebnisses) 

Für alle Verfahren, bei denen die be- 
reits nach geltendem Recht erforderli- 
che Vorabkontrolle noch nicht durch- 
geführt wurde, sollte diese zeitnah (bis 
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spätestens 24. Mai 2018) nachgeholt 
und in ausreichendem Detailgrad doku- 
mentiert werden. 

Ab 25. Mai 2018 ist sicherzustellen, 
dass bei der Einführung neuer Verarbei- 
tungstätigkeiten und bei wesentlichen 
Änderungen bestehender Verarbeitungs- 
tätigkeiten geprüft wird, ob eine Daten- 
schutz-Folgenabschätzung erforderlich 
ist. Diese Entscheidung ist mitsamt dem 
Ergebnis der erforderlichen Datenschutz- 
Folgenabschätzung zu dokumentieren 
und bei Bedarf gegenüber der Daten- 
schutz-Aufsichtsbehörde nachzuweisen. 

Bei den Verarbeitungstätigkeiten, die 
von der Datenschutz-Aufsichtsbehörde 
in die Liste der Verarbeitungstätig- 
keiten bei denen eine Datenschutz- 
Folgenabschätzung durchzuführen ist 
(s.o.) aufgenommen wurde, ist diese 
mit hoher Priorität durchzuführen und 
zu dokumentieren. 


Cartoon 


4 Hilfsmittel zur Umsetzung (Aus- 
wahl) 


« Das Standard-Datenschutzmodell 
(SDM) der Datenschutzaufsichtsbe- 
hörden 
- Zu finden unter: _ https://www. 

datenschutzzentrum.de/sdm/ 

« Whitepaper „DATENSCHUTZ-FOL- 
GENABSCHÄTZUNG - Ein Werk- 
zeug für einen besseren Datenschutz“ 
des Forum Privatheit 
- Zu finden unter: https://www.forum- 

privatheit.de — Publikationen und 
Downloads 


1 In Art. 24 Abs. 2 DS-GVO ist „Anwen- 
dung geeigneter Datenschutzvorkeh- 
rungen“ als „Einführung und Umsetzung 
geeigneter Datenschutzregelungen und 
-strategien“ (engl.: „the implementation 
of appropriate data protection policies“ 
zu lesen. 


2 Der Erwägungsgrund 91 lässt sich im 
Gegensatz zu den anderen oben bei 
Absatz 1 genannten Erwägungsgründen 
direkt einem Absatz des Artikels zuord- 
nen, daher ist der Erwägungsgrund 91 
bei diesem Absatz genannt. 


3 838 Abs. 1 Satz 2 BDSG-neu regelt, 
dass unabhängig von der Anzahl der 
Beschäftigten, die mit der automati- 
sierten Verarbeitung personenbezo- 
gener Daten beschäftigt sind, ein/e 
Datenschutzbeauftragte/r verpflichtend 
zu benennen ist, wenn ein Verantwort- 
licher oder ein Auftragsverarbeiter 
„Verarbeitungen vor[nimmt], die einer 
Datenschutz-Folgenabschätzung nach 
Art. 35 der Verordnung (EU) 2016/679 
[das ist die DS-GVO] unterliegen“. 


4 Inder englischen Version steht hier 
„where appropriate“, dies wäre nicht mit 
„gegebenenfalls“ sondern mit „wenn es 
angebracht / angemessen / sachgemäß / 
zweckdienlich ist‘“ zu übersetzen. 


Die Folgen des „Netzwerkdurchsetzungsgesetzes“ 


DANA » Datenschutz Nachrichten 2/2017 


—# 


© 2017 
Frans Valenta 


NSUR FINDET N 
STATT 


91 


Thilo Weichert 


Türkische Geheimdiensttätigkeit in Deutschland 


Im Dezember 2016 veröffentlich- 
te die regierungskritische türkische 
Zeitung Cumhuriyet Mails und Doku- 
mente, die belegen, dass offensichtlich 
mehrere Imame, die in Moscheen des 
in Deutschland eingetragenen Vereins 
Ditib (Türkisch-Islamische Union der 
Anstalt für Religion, türkisch „Diyanet 
isleri Türk Islam Birligi“) tätig sind, 
Informationen über vermutete Anhän- 
ger des Predigers Fethullah Gülen ge- 
sammelt haben. Am 05.05.2017 erhielt 
Ditib hierfür den deutschen Big Brother 
Award in der Kategorie Politik. Es gibt 
inzwischen Gründe genug, sich die ge- 
heimdienstliche Tätigkeit türkischer Be- 
hörden in Deutschland und die Reaktion 
deutscher Stellen hierauf etwas genauer 
anzusehen. 


1 Der Putschversuch Juli 2016 und 
die Imame 


Die Gülen-Bewegung, die von der 
türkischen Regierung Fetö (Fethullahis- 
tische Terrororganisation) genannt wird, 
wird von der türkischen Regierung für 
den Putschversuch am 15.07.2016 ver- 
antwortlich gemacht. Gülen-Anhänger 
gelten in der Türkei als Staatsfeinde, 
als Terroristen, die den Staat unterwan- 
dern. Nachweise, dass Gülen hinter dem 
Putsch stand, wurden bis heute von der 
türkischen Regierung nicht vorgelegt. 
Unter den 50 von Cumhuriyet veröf- 
fentlichten Listen finden sich Berichte 
der türkischen Generalkonsulate Köln 
und Düsseldorf; andere Berichte kom- 
men aus München. Berichterstatter sind 
Ditib-Imame und Religionsattaches, die 
ihre eigenen Namen genauso vollstän- 
dig nennen wie die Namen der Personen 
und Vereine, die sie denunzieren. Die 
Berichte gehen auf ein Schreiben der 
obersten türkischen Religionsbehörde 
vom 20.09.2016 zurück, in dem die Bot- 
schaften und Generalkonsulate aufge- 
fordert werden, innerhalb einer Woche 
detaillierte Berichte über Organisations- 


92 


strukturen und Aktivitäten der Fetö zu 
schicken. 

Das Material der Imam-Berichte 
landete u. a. bei einem Parlamentsaus- 
schuss in Ankara, der die Hintergründe 
des Putschversuchs gegen Staatspräsi- 
dent Recep Tayyip Erdogan aufklären 
soll. Ditib mit Sitz in Köln wird beschul- 
digt, insbesondere Gemeindemitglieder 
in Deutschland sowie deutsche Lehrer 
bespitzelt zu haben. Auftraggeber ist Di- 
yanet, das Amt für religiöse Angelegen- 
heiten in der Türkei, das praktisch direkt 
Präsident Erdogan untersteht. Der reli- 
gionspolitische Sprecher der Grünen, 
Volker Beck, hatte schon im Dezember 
Anzeige wegen Spionageverdachts ge- 
stellt. Diyanet hat ihre Bediensteten auf- 
gefordert, Aktivitäten von Gruppen wie 
der Gülen-Bewegung zu melden. Die 
Aufforderung erging weltweit. Die Re- 
ligionsattaches haben diese Order an die 
Imame der örtlichen Moscheegemein- 
den weitergegeben. 

Die Imame der Ditib sind türkische 
Staatsbeamte und der Religionsbehörde 
Diyanet unterstellt. Ditib ist finanziell 
von der Religionsbehörde in Anka- 
ra abhängig. Der Präsident der Diya- 
net ist laut Satzung Ehrenvorsitzender 
der Ditib und Vorsitzender von dessen 
mächtigem Beirat. Der türkische Staat 
bestimmt mittelbar, wer in Deutschland 
für Ditib spricht. Wegen der informellen 
Einflussnahmen dürfte es keinen wichti- 
gen Vorstandsposten in einer Ditib-Mo- 
schee geben, der nicht zuvor von Ankara 
bestätigt wurde. 

Vor einigen Jahren noch hatte Diyanet 
dialogbereite und reformorientierte Mo- 
scheevorstände unterstützt. Inzwischen 
sind Reformer nicht mehr erwünscht. 
Im Sommer 2016 wurde der hessische 
Ditib-Landesvorsitzende Fuat Kurt ab- 
gewählt, der sich offen für den Dialog 
zeigte. In Berlin ist vor Weihnachten 
2016 der gesamte Vorstand der Sehitlik- 
Moschee in Neukölln zurückgetreten 
— offenbar auf Druck des türkischen 


Generalkonsulats. Die Moschee galt 
als beispielhaft für ihre Offenheit. Der 
Ton in den Moscheegemeinden ist gene- 
rell rauer geworden. Es wird geschätzt, 
dass die Mehrheit der Deutsch-Türken 
Erdogans autokratischen Kurs unterstüt- 
zen. Viele Gülen-Anhänger verlassen 
die Gemeinden. 


2 Die misslungene Aufklärung 


Ditib sprach zunächst nach Bekannt- 
gabe der Spionage empört von „Unter- 
stellungen“. Wenig später hieß es, die 
„schwerwiegenden Vorwürfe“ würden 
„sauber und transparent“ untersucht. 
Am 11.01.2017 wurde der Ditib-Gene- 
ralsekretär Bekir Alboga wie folgt zi- 
tiert: „Die schriftliche Anweisung des 
türkischen Religionspräsidiums Diyanet 
war nicht an die Ditib gerichtet. Trotz- 
dem folgten dem einige wenige Ditib- 
Imame fälschlicherweise. Wir bedauern 
die Panne zutiefst und haben diesbe- 
züglich auch mit Diyanet gesprochen.“ 
Einige Tage später dementierte Alboga 
per Pressemitteilung sein Bedauern: 
Der Verband habe die „schwerwiegen- 
den Vorwürfe der Bespitzelung nicht 
bestätigt‘; mit dem Wort „Panne“ habe 
er nur gemeint, dass einige Imame die 
Direktiven aus Ankara „missverständ- 
lich ausgelegt“ hätten. Selbstverständ- 
lich würden von Imamen keine „Dienste 
außerhalb der religiösen Betreuung der 
Muslime erwartet“. 

Mindestens 13 Imame aus Nord- 
rhein-Westfalen stehen nach bisherigen 
Erkenntnissen des NRW-Verfassungs- 
schutzes im Verdacht, Informationen 
über vermeintliche Gülen-Anhänger an 
den türkischen Staat weitergegeben zu 
haben. NRW-Verfassungsschutzpräsi- 
dent Burkhard Freier teilte Anfang Ja- 
nuar 2017 im Innenausschuss des Düs- 
seldorfer Landtags mit, es seien zumin- 
dest Informationen mit Namen von 33 
bespitzelten Personen, davon fünf Leh- 
rer, also deutsche Staatsbeamte, und elf 
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Institutionen aus dem Bildungsbereich 
an Diyanet geliefert worden. Für die Be- 
richte an Ankara hätten auch Imame aus 
drei rheinland-pfälzischen Moscheege- 
meinden Informationen gesammelt. Ein 
Sprecher des Innenministeriums Nord- 
rhein-Westfalen sagte: „Die betroffenen 
Personen sind — soweit sie anzutreffen 
waren — von den zuständigen Polizeibe- 
hörden in Gefährdeten-Ansprachen in- 
formiert worden.“ Man habe sie darauf 
aufmerksam gemacht, dass sie bei der 
Planung möglicher Türkeireisen beach- 
ten sollten, dass sie in den Berichten als 
Gülen-Anhänger aufgeführt seien. 
Gemäß Berichten der Presse, der die 
Dokumente vorliegen, sind darin De- 
tails über Moscheebesuche enthalten. 
Eine Nachhilfeeinrichtung aus Berg- 
neustadt wird als „Hort des Bösen“ ge- 
kennzeichnet. Im Vordergrund stehen 
Informationen über Verbindungen von 
Personen zur Gülen-Bewegung sowie 
zu deutschen Behörden. So heißt es in 
einem Bericht des Imam im rheinland- 
pfälzischen Fürthen über einen Mann: 
„Wahrt nach dem Putschversuch völ- 
lig unverändert seine Einstellung“ und 
über eine Frau: „Über sie wird gesagt, 
sie habe immer noch eine emotiona- 
le Bindung an die Bewegung. Sie ist 
Hausfrau“. Aus dem nordrhein-west- 
fälischen Engelskirchen wurden die 
Namen von 16 Männern und Frauen 
einschließlich der Heimatorte in der 
Türkei weitergegeben, die Spenden für 
den „Fetö-Terror“ gesammelt hätten. 
Aus den Berichten kann geschlossen 
werden, dass die Spitzelei schon seit 
längerer Zeit praktiziert wird. 
Tatsächlich wurden aus 35 Ländern 
Berichte abgeliefert, u. a. aus Nigeria, 
Mauretanien, Tansania, Kenia, Saudi- 
Arabien, der Mongolei oder Australien. 
Spitzelberichte gab bzw. gibt es nicht 
nur aus Deutschland, sondern auch aus 
anderen europäischen Ländern wie Ös- 
terreich, der Schweiz, Dänemark, Bel- 
gien und den Niederlanden. Übermittelt 
wurden dabei nicht nur Namen von Per- 
sonen, sondern auch Hinweise auf Schu- 
len, Kitas, Kultur- und Studentenverei- 
ne, die angeblich von der Gülen-Bewe- 
gung betrieben werden. In Österreich 
warnten die Verfasser vor einer „Unter- 
wanderung“ durch die „Fetö“. Die Bot- 
schaft Bern mutmaßte, „gewaltbereite 
Aktivisten“ der Gülen-Bewegung seien 
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aus der Türkei geflohen und hätten sich 
in der Schweiz „festgesetzt“. 


3 Staatsanwaltliche Ermittlungen 


Am 15.02.2017 durchsuchte die Poli- 
zei in Nordrhein-Westfalen und Rhein- 
land-Pfalz die Wohnungen von vier 
Geistlichen, die in Ditib-Gemeinden 
predigen, wegen des Verdachts der ge- 
heimdienstlichen Agententätigkeit. Die 
Razzien wurden vom Generalbundes- 
anwalt in Auftrag gegeben. Eine Spre- 
cherin der Bundesanwaltschaft teilte 
mit, dass das sichergestellte Material, 
darunter Kommunikationsmittel, Da- 
tenträger und schriftliche Unterlagen, 
umgehend ausgewertet wird. Festnah- 
men hat es keine gegeben. Die Bundes- 
anwaltschaft ermittelte konkret gegen 
16 Personen wegen des Verdachts des 
Verstoßes gegen $ 99 Strafgesetzbuch 
(StGB). Dieser Paragraph verbietet das 
Sammeln und Mitteilen von „Tatsachen, 
Gegenständen oder Erkenntnissen“ für 
„Geheimdienste einer fremden Macht“. 

Gemäß Presseberichten waren die po- 
lizeilichen Durchsuchungen eigentlich 
schon für Ende Januar geplant. Ein Spre- 
cher der Bundesanwaltschaft sagte auf 
Anfrage, damals seien auch Haftbefehle 
beantragt worden. Der Ermittlungsrich- 
ter des Bundesgerichtshofs (BGH) habe 
bislang aber nicht den dafür notwendi- 
gen dringenden Tatverdacht gesehen. 

Die Beschuldigten wurden bei den 
Durchsuchungen nicht angetroffen. Sie 
hatten sich offensichtlich in die Türkei 
abgesetzt. Am 17.02.2017 teilte Diyanet 
über ihren Präsidenten Mehmet Görmez 
in Ankara mit, sie habe sechs unter Spi- 
onageverdacht stehende Imame in die 
Türkei zurückbeordert, was von Ditib 
als disziplinarische Maßnahme darge- 
stellt wurde. Diese hätten ihre Kom- 
petenzen überschritten, sich aber nicht 
strafbar gemacht: „Es gibt keine Spiona- 
getätigkeit.‘“ Die Rückkehr in die Türkei 
sei ein Zeichen des guten Willens. Die 
„Kampagne“ in Deutschland gegen die 
Diyanet und gegen Ditib seien inakzep- 
tabel. Anfang Mai 2017 waren von den 
16 Beschuldigten zehn in die Türkei zu- 
rückbeordert und so der effektiven deut- 
schen Strafverfolgung entzogen. 

Während die deutschen Strafverfol- 
gungsbehördenweiter ermitteln, erklärte 
der Ditib-Abteilungsleiter für Außen- 


beziehungen, Zekeriya Altug, die Af- 
färe intern für aufgeklärt. Ditib-Imame 
hätten in 10 bis 15 Fällen Berichte über 
vermeintliche Gülen-Anhänger nach 
Ankara weitergeleitet. Angesichts der 
900 Moscheegemeinden sei dies eine 
geringe Zahl; ein „strukturelles Prob- 
lem“ gebe es nicht. In den Gemeinden 
hätten Menschen aller Couleur Platz, 
auch Anhänger von Milli Görüs und von 
Gülen: „Wir wollen die Vielfalt in den 
Gemeinden erhalten.“ 

Ditib teilte anlässlich der polizeili- 
chen Durchsuchungsaktion mit, es han- 
dele sich bei den durchsuchten Woh- 
nungen um Privatwohnungen, nicht um 
Ditib-Vereinsräume: „Die Ermittlungen 
richten sich nicht gegen den Ditib-Ver- 
band, nicht gegen Ditib-Mitarbeiter und 
auch nicht gegen die Ditib-Moscheen“. 
Tatsächlich wird Ditib in der Pressemit- 
teilung der Bundesanwaltschaft nicht 
explizit erwähnt, wohl aber die Religi- 
onsbehörde Diyanet, die die Imame von 
der Türkei in die Ditib-Gemeinden ent- 
sendet. 

Am 13.03.2017 leitete die General- 
bundesanwaltschaft zusätzlich zu den 
16 Ditib-Verfahren ein Ermittlungs- 
verfahren gegen Halife Keskin ein, ein 
hochrangiger Funktionär der Diyanet, 
der diplomatische Vertretungen welt- 
weit aufgefordert hatte, Informationen 
über die Gülen-Bewegung zu sammeln. 
Den Ermittlern sollen von einem Insider 
reichlich Unterlagen zugespielt worden 
sein. 


4 Reaktionen 


Die Integrationsbeauftragte der Bun- 
desregierung Aydan Özoguz (SPD) for- 
derte Konsequenzen aus der Spionage- 
affäre: „Die Spitzelvorwürfe gegen Di- 
tib sind gravierend. Es ist gut, dass der 
Generalbundesanwalt jetzt Ermittlungen 
aufgenommen hat. Özoguz fordert, dass 
sich Ditib „glaubhaft von Ankara löst. 
Ein erster zwingender Schritt muss die 
Änderung der Satzung sein, die die enge 
Verbindung zur türkischen Religionsbe- 
hörde Diyanet festschreibt“. 

Die Migrationsbeauftragte der Lin- 
ken-Bundestagsfraktion Sevin Dagdelen 
forderte konkrete Maßnahmen gegen 
die denunzierenden Imame: „Erdogans 
Spitzel müssen umgehend ausgewiesen 
werden.“ Die Kooperation mit Ditib sei 
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zu beenden. Grünen-Religionsexperte 
Beck kritisierte Bundesregierung und 
deutsche Behörden, die seiner Auffas- 
sung nach zu spät mit den Ermittlungen 
gegen den Verband begannen. Selbst 
nach seiner Anzeige von Mitte Dezem- 
ber 2016 sei zunächst gar nichts passiert. 
Die tatverdächtigen Imame und Religi- 
onsattachös hätten dadurch genügend 
Zeit gehabt, unbehelligt in die Türkei 
zurückzukehren. Beck warf der Bundes- 
regierung weiter vor, sie habe aus Rück- 
sicht auf das Flüchtlingsabkommen mit 
der Türkei so gehandelt. 

Justizminister Maas sieht in Reaktion 
auf die Razzien für einen Zusammenar- 
beit mit Ditib keine Zukunft, wenn der 
Verein sich nicht von Ankara loslöst. 
Der Einfluss des türkischen Staates auf 
Ditib sei zu groß. Er forderte Ditib auf, 
seine Satzung zu ändern, die die enge 
Verbindung zur türkischen Religions- 
behörde Diyanet festschreibt. Der Ver- 
band müsse sich glaubhaft von Ankara 
lösen: „Nur als unabhängiger deutscher 
Verband hat Ditib eine Zukunft als ver- 
lässlicher Partner.“ Maas verlangte von 
Ditib, dass die Spionage-Vorwürfe „un- 
verzüglich und lückenlos“ aufgeklärt 
werden. Wer den Islam als Deckmantel 
für Spionage benutze, könne sich nicht 
auf die Religionsfreiheit berufen. Auch 
das Bundesinnenministerium rief Ditib 
auf, den Vorwurf der Bespitzelung auf- 
zuklären. Innenstaatssekretär Ole Schrö- 
der (CDU) meinte, die Bundesländer 
müssten prüfen, ob Ditib die Vorausset- 
zungen für eine Religionsgemeinschaft 
erfülle. Es müsse möglicherweise auch 
untersucht werden, ob der Sonderstatus, 
den Imame genössen, gerechtfertigt sei. 

Mustafa Yeneroglu, Mitglied der 
türkischen Regierungspartei AKP und 
Vorsitzender des sog. Menschenrechts- 
ausschusses im türkischen Parlament, 
ging Maas für seine Kritik scharf an: 
„Ich verurteile die Razzien gegen Ditib- 
Imame auf das Schärfste. Unter dem 
Deckmantel eines rechtlich unhaltbaren 
Spionagevorwurfs wird eine beispiello- 
se Einschüchterungskampagne gegen 
die mitgliederstärkste islamische Reli- 
gionsgemeinschaft in Deutschland ge- 
fahren und die öffentlichen Erklärungen 
von Bundesjustizminister Maas offen- 
baren die eigentliche politische Motiva- 
tion hinter der Aktion.“ Yeneroglu sieht 
auch hinter dem Zeitpunkt der Razzien 


94 


politische Beweggründe: „Nicht nach- 
vollziehbar ist zudem, warum der Gene- 
ralbundesanwalt die Wohnungsdurchsu- 
chungen mehrere Wochen nach Beginn 
der Ermittlungen anordnet. Auch dies 
spricht dafür, dass es sich hierbei nicht 
um eine juristisch notwendige Maßnah- 
me handelt, sondern um eine politische. 
Offenbar wollte man den Türkei-Besuch 
von Bundeskanzlerin Angela Merkel 
nicht belasten.“ Dieser war kurz vorher 
durchgeführt worden. 

Der Präsident der Religionsbehörde 
Mehmet Görmez wies die Spionage-Vor- 
würfe entschieden zurück. Ditib bemühe 
sich in Deutschland, die Gläubigen vor 
einem falschen Religionsverständnis zu 
schützen. Er sei „sehr traurig“ darüber, 
dass die Bemühungen, die Moscheege- 
meinde in Deutschland zu schützen, als 
Spionagetätigkeit bezeichnet werden. 
Ditib arbeite seit Jahrzehnten auf der 
„Grundlage des Rechts“. Für ihn sei 
nicht vorstellbar, dass der Moscheever- 
ein Recht ignoriere. Ein Schreiben sei- 
ner Behörde sei nicht an die Imame oder 
Moscheen gerichtet gewesen. Dennoch 
werde seine Behörde jeder Behauptung 
nachgehen und unternehmen, was nötig 
sei, wenn „einzelne individuelle Fehler“ 
passiert seien. Er frage sich jedoch, ob 
die Reaktionen in Deutschland so aus- 
fallen würden, wenn es nicht um die 
Gülen-Bewegung, sondern um die Ter- 
rormiliz IS gehen würde. 

Der türkische Justizminister Bekir 
Bozdag verurteilte die polizeilichen 
Durchsuchungen als „klaren Verstoß 
gegen internationale Abkommen und 
die deutsche Verfassung“. Schließlich 
sei die Religions- und Glaubensfreiheit 
dort festgeschrieben, sagte er unter Ver- 
weis auf Grundgesetz und Abkommen. 
Bozdag, der der regierenden AK-Partei 
angehört, warf den deutschen Behör- 
den indirekt vor, unter dem Einfluss der 
Gülen-Bewegung zu handeln. Die Er- 
mittlungen zeigten, wie leicht Deutsch- 
land „den Behauptungen von Terroristen 
Glauben schenkt“. 

Der Vorsitzende der Kurdischen 
Gemeinde in Deutschland, Ali Ertan 
Toprak, meinte dagegen, wer mit der 
Ditib zusammenarbeite — wie es viele 
Landesregierungen nicht nur beim isla- 
mischen Religionsunterricht tun —, der 
lege die Zukunft der deutschen Muslime 
in die Hände des türkischen Präsidenten 


Erdogan. Er warnte vor türkisch-nati- 
onalistischen „Gegengesellschaften“, 
die aggressiv gegen westliche Werte 
vorgingen. Das Klima in der türkischen 
Gemeinde in Deutschland sei vergiftet. 
Erdogan-Anhänger denunzierten Nach- 
barn und Kritiker des türkischen Präsi- 
denten. 

Am 05.05.2017 wurde in Bielefeld 
im Rahmen einer öffentlichen Festver- 
anstaltung Ditib der Big BrotherAward 
2017 in der Kategorie „Politik“ verlie- 
hen. Auf die Einladung zu dieser Ver- 
anstaltung hin reagierte Generalsekretär 
Alboga mit einem zweiseitigen Ant- 
wortschreiben, in dem er betonte, Ditib 
habe mit der „Spitzel-Affäre‘“ nichts zu 
tun. Die Vorwürfe fußten auf „Tatsa- 
chenverdrehung, Falschbehauptung und 
unzulässigen _Verallgemeinerungen“. 
Er bat um „umgehende Revidierung“ 
des „Urteils“ und wies darauf hin, dass, 
sollte dem nicht gefolgt werden, „eine 
Strafbarkeit nach $ 186 Strafgesetzbuch 
in Betracht kommen würde.“ 

Die rot-grüne NRW-Regierung ver- 
langte eine lückenlose Aufklärung der 
Vorwürfe und forderte eine strikte Tren- 
nung von Ankara. Davon soll abhängig 
gemacht werden, ob die Zusammenar- 
beit mit der Ditib fortgesetzt wird. NRW- 
Sozialminister Rainer Schmeltzer (SPD) 
sagte, er erwarte von Ditib den „ernst- 
haften Willen zur Loslösung vom direk- 
ten Einfluss türkisch-staatlicher Institu- 
tionen“. Signale sollten bald erfolgen, 
die Umsetzung der Verselbständigung 
brauche aber Zeit. Er wolle aber weiter 
mit Ditib reden. Das Zentralkomitee der 
deutschen Katholiken (ZdK) plädierte 
dafür, den Dialog mit Ditib einstweilen 
fortzusetzen, so ZdK-Präsident Thomas 
Sternberg: „Ich kann nur davor warnen, 
bereits jetzt die gesamte Ditib in Verruf 
zu bringen“. 


5 Ditib 


Direkt nach dem Putschversuch im 
Juli 2016 war die 1984 gegründete Ditib 
schon einmal in die Kritik geraten, weil 
in einigen der Moscheegemeinden Gü- 
len-Anhänger vom Gebet ausgeschlos- 
sen wurden und in den direkt aus Ankara 
kommenden Predigten gegen sie gehetzt 
wurde. Ditib ist mit Abstand die größte 
muslimische, weiter wachsende Orga- 
nisation in Deutschland, sie vertritt 15 
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Landes- und Regionalverbände sowie 
gut 900 Gemeinden. Der Dachverband 
richtet sich inhaltlich strikt an den Vor- 
gaben aus Ankara aus, ihr Vorstandsvor- 
sitzender wechselt häufig. 

Die Ditib-Imame sind aus Ankara 
abgeordnete und bezahlte Beamte der 
türkischen Religionsbehörde Diyanet. 
Auch die sogenannten Religionsbe- 
auftragten in jeder Gemeinde beziehen 
laut einem Ditib-Sprecher ihr Gehalt 
aus Ankara. Zudem sitzen gemäß der 
Vereinssatzung in allen wichtigen Ditib- 
Gremien Diyanet-Vertreter. Außerdem 
ist der Vorstandsvorsitzende von Ditib 
traditionell der Religionsattache der 
türkischen Botschaft in Berlin. Der Po- 
litikwissenschaftler an der Universität 
Ankara Baskin Oran meinte, Erdogan 
betrachte Ditib als ein Instrument, um 
seine Herrschaft über die Türkei hinweg 
auszudehnen: „Die Regierung macht 
das in der Türkei genauso. Das System 
Erdogan beruht auf Spionage.“ 

Trotzdem galt Ditib dem deutschen 
Staat lange als verlässlicher Dialogpartner, 
wenn es um die Integration der Muslime 
ging, um islamische Lehrstühle oder den 
Religionsunterricht. Man sah zu Ditib kei- 
ne Alternativen. In Deutschland sind die 
christlichen und jüdischen Gläubigen in 
großen Kirchen organisiert. Bei den Mus- 
limen ist das Bild sehr viel zersplitterter, 
zumal die Muslime in Deutschland die 
unterschiedlichsten Herkunftsländer ha- 
ben. Da Muslime aus der Türkei die größ- 
te Gruppe stellen und Ditib dem Modell 
einer organisierten Kirche am nächsten 
kommt, lag es nahe, den Verein als An- 
sprechpartner zu wählen. Die von Ditib 
angestrebte Anerkennung als Religionsge- 
meinschaft ist mit den Spionagevorwürfen 
in weite Ferne gerückt. 

In Hamburg und Bremen wurden 
zunächst Staatsverträge mit Ditib ge- 
schlossen, die den islamischen Religi- 
onsunterricht an Schulen regeln. Seit 
dem Bekanntwerden der politischen 
Instrumentalisierung wurde die Skepsis 
hierzu immer größer. In Hessen ist Ditib 
ebenfalls der Ansprechpartner für den 
islamischen Religionsunterricht. Das 
dortige Kultusministerium prüft nun, 
ob Ditib unabhängig vom türkischen 
Staat sei. In Niedersachsen stand man 
kurz vor einem Abkommen - seit den 
Vorwürfen nach dem Putsch liegen die 
Verhandlungen auf Eis. 
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Auch in NRW gibt es einen Beirat, der 
sich mit dem islamischen Religionsun- 
terricht beschäftigt. Der Ditib-Vertreter 
lässt seinen Sitz dort nach dem Beginn 
der Ermittlungen ruhen. Bei einem Prä- 
ventionsprojekt gegen Salafısmus hat die 
Landesregierung die Zusammenarbeit 
aufgekündigt, nachdem Diyanet einen 
Comic herausgegeben hatte, in dem ein 
Vater seinen Sohn über die Schönheit 
des Märtyertods aufgeklärt: „Märtyrer 
sind im Himmel so glücklich, dass sie 
zehnmal Märtyrer sein wollen“. Ditib 
hatte hierzu erklärt, dass dafür nicht der 
Verein, sondern Diyanet verantwortlich 
zeichnete. Dass dies formaljuristisch 
auch in Bezug auf das Arbeitsrecht gilt, 
entschied Anfang April 2017 das Ar- 
beitsgericht Köln: Zwei türkische Ima- 
me klagten gegen Ditib auf Wiederein- 
stellung an deutschen Ditib-Moscheen 
in Südbaden, wo sie nach dem geschei- 
terten Putsch entlassen worden waren. 
Das Arbeitsbericht entschied, es habe 
kein Arbeitsverhältnis mit dem Verband 
bestanden; die Seelsorger seien Beam- 
te des türkischen Staates gewesen. Sie 
hätten zwar in den Moscheen gearbeitet 
und gewohnt, aber nicht belegen kön- 
nen, dienstliche Weisungen von Ditib 
erhalten zu haben. Die klagenden Imame 
haben Asyl in Deutschland beantragt. 

Obwohl die Spionage-Ermittlungen 
gegen Imame von Ditib andauerten 
und sich die Einsicht von Ditib über 
die Unvereinbarkeit des Vorgehens der 
Imame mit einer freiheitlichen Kultur in 
Grenzen hielt, wurde Anfang Mai 2017 
bekannt, dass die Bundesregierung den 
muslimischen Verband wieder mit mehr 
als einer Million Euro fördern möchte. 
Das Bundesfamilienministerrium will 
bereits bewilligte Gelder u. a. für Inte- 
grationskurse und Projekte mit Jugend- 
lichen, die aufgrund der Vorwürfe zu- 
rückgehalten wurden, auszahlen, weil 
Ditib-Vertreter eine „strikte Trennung 
zwischen den geförderten Modellpro- 
jekten sowie den vom Ermittlungsver- 
fahren Betroffenen“ zugesichert haben. 


6 Türkische Spitzel in Deutschland 


Bereits im Sommer 2016 war bekannt 
geworden, dass die türkische „Nationa- 
le Geheimdienst-Organisation“ (MIT) 
in Deutschland ca. 6.000 Informanten 
beschäftige. Die deutschen Sicherheits- 


behörden gehen davon aus, dass in 
Deutschland rund 150 MIT-Mitarbeiter 
an der türkischen Botschaft und an den 
Konsulaten arbeiten. Eine interne Ana- 
lyse aus dem Bundesinnenministerium 
vom Oktober 2016 schrieb: „Es muss 
ermittelt werden, ob und inwieweit der 
türkische Geheimdienst MIT mittels 
nachrichtendienstlicher Einflussopera- 
tionen versucht, getarnt in die Willens- 
bildung von deutschen Institutionen ein- 
zugreifen und die öffentliche Meinung 
unter anderem durch Desinformation 
zu lenken.“ In einem vertraulichen La- 
gebericht des Auswärtigen Amtes vom 
Febraur 2017 heißt es: „Der MIT ist die 
Institution, die am meisten Einfluss ge- 
winnen konnte.“ Der Grünen-Bundes- 
tagsabgeordnete Hans-Christian Strö- 
bele, Mitglied im Parlamentarischen 
Kontrollgremium, das die deutschen 
Nachrichtendienste überwacht, forderte 
die Bundesregierung und die Sicher- 
heitsbehörden auf, die bespitzelten Bür- 
ger zu beschützen. Solche Denunzierun- 
gen wie die durch die Ditib-Imame seien 
schwere Straftaten. 

Anfang 2017 wurde über die Presse 
bekannt, dass die türkischen Behörden 
auch die türkischen Migranten zum 
Ausspionieren einzusetzen versuchen. 
Gemäß Informationen der Gewerkschaft 
Erziehung und Wissenschaft (GEW) 
sollen türkischstämmige SchülerIn- 
nen von den türkischen Konsulaten in 
Nordrhein-Westfalen aufgefordert wor- 
den sein, ihre Lehrkräfte heimlich zu fil- 
men. Wenn diese Kritik am Regime um 
Staatschef Erdogan äußern, sollten die 
SchülerInnen - in Deutschland, nicht in 
der Türkei — die Aufnahmen an die tür- 
kischen Behörden weiterleiten. Hierzu 
habe es in den Konsulaten des Landes 
entsprechende Info-Veranstaltungen 
für Lehrer- und Elternvereine gegeben. 
GEW-Landesvorsitzender Sebastian 
Krebs teilte mit: „Wir haben aus unter- 
schiedlichen Quellen erfahren, dass die 
Teilnehmer dazu angehalten wurden, 
den Generalkonsulaten jede Kritik an 
der türkischen Regierung, die in NRW- 
Schulen beobachtet wird, zu melden“. 

Die Kooperation deutscher mit tür- 
kischen Stellen bringt rechtsstaatliche 
Konflikte mit sich. Dies zeigt ein Straf- 
verfahren gegen zehn türkischstämmige 
Kommunisten vor dem Oberlandesge- 
richt München, in dem geklärt werden 
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soll, ob es sich, wie von der türkischen 
Regierung behauptet, bei der linksex- 
tremen Splittergruppe Kommunistische 
Partei der Türkei/Marxistisch-Leninis- 
tisch (TKP/ML) um eine Terrororga- 
nisation handelt. Dabei verwendet die 
anklagende Bundesanwaltschaft türki- 
sche Geheimdienst-Informationen vom 
September 2013, wonach die TKP/ML 
angeblich in Deutschland einen 700 
bis 800 Personen starken Kader mit bis 
zu 2.000 SympathisantInnen habe und 
dann stolz Namen, Daten und Anschrif- 
ten der Personen auflistet, „die nach Ein- 
schätzung in den zirkulierenden geheim- 
dienstlichen Informationen“ hier aktiv 
seien. Nach Ansicht von Peer Stolle, 
Verteidiger einer angeklagten türkisch- 
stämmigen Ärztin, sind diese Beweis- 
mittel rechtsstaatswidrig in Deutschland 
erlangt worden. Die schwarze Ironie des 
Vorgangs bringt es mit sich, dass die In- 
formationen vom früheren Direktor der 
türkischen Abteilung für Terrorbekämp- 
fung Ömer Köse stammt, der inzwischen 
seit zwei Jahren wegen des Vorwurfs der 
Dokumentenfälschung, der illegalen Te- 
lefonüberwachung, der Verletzung der 
Privatsphäre, der Beweisfälschung und 
der Preisgabe von Ermittlungsinforma- 
tionen in der Türkei in Haft sitzt. 

Der Prozess gegen TKP/ML, der im 
Sommer 2016 begann, soll sich noch 
mindestens bis 2018 hinziehen. Ange- 
sichts der aktuellen Erkenntnisse über 
die türkischen Spionageaktivitäten in 
Deutschland beantragten die Verteidi- 
ger, die Verfolgungsermächtigung gegen 
die 10 Angeklagten zurückzunehmen. 
Dann würde der Prozess platzen. Ende 
März 2017 entschied sich die Bundesre- 
gierung dagegen, worauf die Verteidiger 
Strafanzeige wegen der türkischen Spio- 
nage erstatteten. 

Das MIT-Engagement geht über die 
Beobachtung der Opposition im Aus- 
land hinaus. So wurde in Hamburg ein 
mutmaßlicher MIT-Agent festgenom- 
men, der Morde an Kurdenvertretern in 
Deutschland und Belgien geplant haben 
soll. In Frankreich kamen Ermittler nach 
dem Mord an drei kurdischen Aktivis- 
tinnen 2013 zum Schluss, dass die MIT 
an der Vorbereitung der Gewalttat betei- 
ligt war. 

Lange Zeit haben sowohl die deutsche 
wie auch die türkische Seite versucht, 
Konflikte möglichst geräuschlos beizu- 
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legen. Das ist aber immer weniger mög- 
lich, nachdem sich zeigt, dass die Türkei 
friedliche Regierungskritiker wie z. B. 
den deutsch-türkischen Welt-Journalis- 
ten Deniz Yücel inhaftiert und zu Terro- 
risten erklärt und, wie am 06.03.2017 der 
türkische Justizminister Bekir Bozdag, 
deutschen Behörden Nazi-Praktiken 
vorwarf. Im Vorlauf zum Referendum 
über die Autokratisierung der Türkei am 
16.04.2017 wurde der Nazivorwurf zum 
klassischen Propaganda-Muster der tür- 
kischen Regierung und regelmäßig ins- 
besondere auch von Präsident Erdogan 
verwendet. Dies fiel bei vielen offenbar 
auf fruchtbaren Boden, stimmten doch 
63,1% der Auslandstürken in Deutsch- 
land — bei einer Beteiligung von 46% — 
für die Verfassungsänderung. 


7 Das Dossier des MIT 


Die Türkei benutzte ihre geheim- 
dienstlichen Aktivitäten gezielt, um die 
politische Führung in Deutschland zu 
provozieren und dadurch die identitäre 
Stimmung in der türkischen Communi- 
ty zu schüren mit dem Kalkül, dadurch 
Stimmen für das Referendum zugunsten 
der türkischen Verfassungsreform zu 
mobilisieren. 

Hartes Geschütz fuhren die türki- 
schen Behörden auf, als der 48-jährige 
Chef des türkischen MIT Hakan Fidan 
am Rande der 53. Münchener Sicher- 
heitskonferenz vom 17. bis 19.02.2017 
dem Präsidenten des Bundesnachrich- 
tendiensten Bruno Kahl ein Dossier 
mit der Bitte um Amtshilfe überreich- 
te. Kahl solle die Liste an den Verfas- 
sungsschutz übergeben. Der wäre ja für 
so etwas zuständig. Darin befand sich 
eine 69 Seiten umfassende Tabelle mit 
Namen und Einrichtungen, auf jeder 
Seite gekennzeichnet mit „freigegeben 
für die Bundesrepublik Deutschland“. 
In einer Art Vorwort wurde beklagt: „Es 
kann ausgesagt werden, dass die deut- 
schen Dienststellen die Türkei bei dem 
begonnenen Vorgehen gegen die FETÖ/ 
PSS nicht im erwarteten Ausmaß unter- 
stützen.“ PSS steht für „Parallele Staats- 
strukturen“. In dem Dossier wird be- 
hauptet, dass die Gülen-Bewegung seit 
1990 in Deutschland aktiv sei und eine 
„verwurzelte Organisierung“ besitze mit 
„Firmen, wirtschaftlich-kommerziellen 
Betrieben, Vereinen, Stiftungen, Kul- 


turzentren, Denkeinrichtungen, Medi- 
en- und Bildungsinstitutionen“. Deren 
„Aktivitäten“ hätten sich in Deutschland 
„enorm beschleunigt“; Deutschland 
werde, so das Dossier, von Gülen „zu 
einem zentralen Stützpunkt in Europa“ 
ausgebaut, verbunden mit dem Hinweis 
auf türkische NATO-Militärangehörige 
und Diplomaten, die nach der beispiel- 
losen Verfolgungsaktion in Reaktion auf 
den Putschversuch in Deutschland Asyl 
beantragt haben. 

Die Botschaft des Dossiers: Deutsch- 
land beherbergt Staatsfeinde. Mehr als 
300 Namen und 200 Einrichtungen ste- 
hen auf der Liste: Imame, JournalistIn- 
nen, Vorsitzende von Bildungsvereinen. 
Je sechs Namen finden sich auf einer 
Seite des Dossiers, oft versehen mit Mail- 
Adresse, Handynummer, Wohnanschrift 
und Foto. Manchmal findet sich der vor- 
sorgliche Hinweis, die Person könne wo- 
möglich einen Asylantrag in Deutschland 
stellen, oder, dass jemand der „kleine 
Bruder“ von wem ist. Aufgelistet werden 
zudem Hunderte Firmen, Taxibetriebe 
und eine Fahrschule, Steuerberatungs- 
kanzleien und Immobilienbetriebe, Res- 
taurants und Dönerbuden. 

In einer der Tabellen finden sich 83 
Dialogzentren, Wirtschaftsverbände und 
Kulturvereinigungen; zwölf Zeitungen, 
Verlage und Fernsehsender sind gelistet 
und sehr viele Schulen, selbst Kinder- 
gärten. Unter der Rubrik „Machtzentren 
und Nichtregierungsorganisationen“, mit 
denen die Gülen-Bewegung „gute Be- 
ziehungen“ aufgebaut habe, werden die 
aus dem Ruhrgebiet stammende SPD- 
Politikerin Michelle Müntefering und die 
Berliner CDU-Politikerin Emine Demir- 
büken-Wegner, einstmals Staatssekretä- 
rin in der Berliner Landesregierung und 
Mitglied des CDU-Bundespräsidiums, 
aufgeführt. Weiterhin erwähnt wird der 
Name eines früheren Redenschreibers 
von Helmut Schmidt und heutigen Jour- 
nalisten, der sich für die Gülen-Bewe- 
gung starkgemacht habe. 


8 Nur dezente Absetzbewegungen 


BND-Präsident Kahl informierte die 
Bundesregierung. Das Bundesamt für 
Verfassungsschutz verteilte das Dossier 
am 03.03.2017 an alle Länder. Dort gab 
es keine Abstimmung; die Bundesbe- 
hörden gaben sich insofern auch keine 
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Mühe. Es verstrichen Wochen, bis die 
Betroffenen informiert wurden. Als ers- 
te Länder wurden Niedersachsen und 
Nordrhein-Westfalen mit Warnungen an 
die Betroffenen aktiv; die anderen Bun- 
desländer zogen nach. Der Generalbun- 
desanwalt erhielt auch die Liste mit dem 
Hinweis, das Material sei nicht gerichts- 
verwertbar, könne also auch nicht für 
Ermittlungen genutzt werden. Nach der 
Veröffentlichung des Vorgangs nahm er 
aber Ermittlungen wegen des Verdachts 
der Spionage gegen Unbekannt auf. 
Eine Sprecherin des Generalbundesan- 
walts erklärte: „Der Erfolg unserer Er- 
mittlungen wird wesentlich von den Er- 
kenntnissen abhängen, die uns von den 
deutschen Spionage-Abwehrbehörden 
mitgeteilt werden“. 

Der Chef der Gülen-Bewegung in 
Deutschland, Ercan Karakoyun brachte 
seine Sorge zum Ausdruck: „Die Exis- 
tenz dieser Liste macht mir Angst.“ 
Der Vorsitzende der SPD-Bundestags- 
fraktion Thomas Oppermann bezeich- 
nete es als „absolut unerträglich“, dass 
Abgeordnete ins „Visier des türkischen 
Geheimdienstes“ geraten seien. Ankara 
müsse dafür sorgen, dass „diese Bespit- 
zelung‘“ sofort aufhöre. Bundesinnen- 
minister Thomas de Maiziere erklärte: 
„Spionageaktivitäten auf deutschem 
Boden sind strafbar und werden von uns 
nicht geduldet. Es kann nicht sein, dass 
diejenigen, die der Türkei irgendwie 
missliebig sind, Sorge haben müssen, in 
die Türkei zu fahren“. 

Teile der CDU reagierten mit der For- 
derung nach einem „Islamgesetz“ auf die 
Veröffentlichungen, so u. a. die stellver- 
tretende Parteivorsitzende Julia Klöck- 
ner, das Präsidiumsmitglied Jens Spahn 
oder der Vorsitzende der Mittelstands- 
und Wirtschaftsvereinigung der Union 
(MIT) Carsten Linnemann, der meinte: 
„Der Staat muss wissen, wo Moscheen 
sind und was in ihnen passiert. Wenn dort 
kein deutsch gesprochen wird und ein 
radikaler Islam gepredigt wird, muss In- 
tegration scheitern.“ Klöckner assistierte: 
„Ein Islamgesetz kann die Rechte und 
Pflichten der Muslime in Deutschland 
auf eine neue rechtliche Basis stellen.“ 
Die Forderung nach einem Islamgesetz 
wurde nicht nur von der Opposition, son- 
dern auch von der SPD, von Kirchenver- 
tretern sowie von Bundesinnenminister 
de Maiziere zurückgewiesen. 
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9 Deutsch-türkische Geheimdienstbe- 
ziehungen 


In einem Lagebericht des Auswär- 
tigen Amtes zur Türkei vom Februar 
2017 heißt es: „Die Regierung hat seit 
dem Putschversuch seine fast alles be- 
herrschende nationalistische Atmo- 
sphäre geschaffen, die gleichermaßen 
auf Furcht, Euphorie, Propaganda und 
nationale Einheit setzt“. Dessen unge- 
achtet versucht die deutsche Diploma- 
tie, den Draht zu den türkischen Sicher- 
heitsbehörden nicht abreißen zu lassen. 
Man braucht diese für die Bekämpfung 
des sog. Islamischen Staats (IS). Man 
ist froh, dass die Türkei die Grenze zu 
Syrien abgeriegelt hat und kontrolliert, 
wer als Rückkehrer unterwegs ist. Die- 
se Zusammenarbeit soll auch richtig gut 
funktionieren. 

Während früher die Erwartungen der 
türkischen Seite gegenüber den deut- 
schen Behörden sich auf die Anhänge- 
rInnen der Kurdischen Arbeiterpartei 
PKK konzentrierten, hat sich das An- 
forderungsprofil massiv erweitert und 
erfasst insbesondere die Gülen-Anhän- 
gerInnen. Erst 2016 begann das Bundes- 
amt für Verfassungsschutz zu prüfen, ob 
AKP-nahe private Vereine die Spitzeltä- 
tigkeit des MIT unterstützen. 

Geheimdienstliche Kooperationen 
spielen sich nicht nur jenseits der öffent- 
lichen Wahrnehmung, sondern auch oft 
jenseits des Rechts ab. Es herrscht ein 
Geben und Nehmen. Diplomatie geht 
vor „Rule of Law“. Inwieweit nicht 
nur politische und wirtschaftliche In- 
teressen in die Geheimdienstarbeit wie 
auch in die behördliche Reaktion auf 
fremde Spionage in Deutschland ein- 
fließen, sondern auch die Rücksicht auf 
die Menschen und die Menschenrechte, 
ist von der Transparenz und der öffent- 
lichen Diskussion abhängig. Deutsch- 
land ist keine Insel der Seligen, auf 
der die Grundrechte und insbesondere 
auch der Schutz vor Ausforschung und 
informationeller Diskriminierung und 
Verfolgung geschützt werden, sondern 
zugleich politischer Partner von Staaten, 
für die Diskriminierung und Verfolgung 
systembedingt sind. Gegen derartige 
Partnerschaften ist grds. nichts einzu- 
wenden, da der Austausch über Grund- 
rechte und Freiheiten mit solchen Staa- 
ten einen generellen Austausch bedingt. 


Notwendig bleibt aber in jedem Fall die 
Prüfung, wem dieser Austausch mehr 
hilft, der Förderung von Grundrechten 
und Demokratie oder deren Beseitigung. 
Diese schwierige Prüfung kann nur über 
eine öffentliche kontroverse Debatte er- 
folgreich sein. Sie setzt — bei aller Kom- 
promissbereitschaft bei konkreten Vor- 
gängen - ein kompromissloses Bekennt- 
nis zu informationellen Grundrechten 
voraus. Insofern gibt es Einiges zu tun 
— auch und gerade in Deutschland. 


Verwendete Quellen: Hür, DITIB-Imame 
spionierten offenbar in Deutschland, www. 
deutschlandfunk.de 12.12.2016; Spitzelvor- 
wurf gegen Ditib, SZ 13.01.2017, 6; Burger, 
Spionage und weitere Pannen, www.faz.net 
13.01.2017; Drobinski, Risse, die tiefer wer- 
den, SZ 14./15.01.2017, 6; Imame unter Spi- 
onageverdacht, SZ 19.01.2017, 5; Ramels- 
berger, Namen, Daten, Anschriften — alles 
ausspioniert, SZ 24.01.2017, 5; Drei Listen 
mit 28 Namen, SZ 25.01.2017, 6, „Von An- 
kara lösen“, Der Spiegel 4/2017, 25; Spion 
im Nebenjob, SZ 04./05.02.2017, 6; Aykanat/ 
Bielicki/Drobinski, Spionageverdacht bei 
Ditib: Polizei durchsucht Wohnungen von 
Imamen, www.sueddeutsche.de 15.02.2017; 
Beweise bei türkischen Imamen gefunden, 
www.handelsblatt.com 15.02.2017; Tür- 
kische Politiker toben nach Ditib-Razzia 
und lassen schlimmen Vorwurf anklingen, 
www.focus.de 16.02.2017; Imame zurück 
in der Türkei, SZ 18./19.02.2017, 6; Baum- 
gärtner/Caylan/Diehl/Elger/Knobbe/Popp/ 
Schindler/Schmid/Schmidt/Schmidt,  Tar- 
nung Imam, Der Spiegel 8/2017, 28 ff.; Güs- 
ten, Mehr als 6.000 Spitzel in Deutschland, 
http://www.das-parlament.de/2017/9_10/ 
themenausgaben/-/495026: Moritz, Der Spi- 
on im Klassenzimmer, www.handelsblatt. 
com 22.02.2017; Mascolo/Pinkert/Steinke, 
Der Irrtum des Top-Spions, SZ 28.03.2017, 
6; Mascolo, De Maiziere: Türkische Spio- 
nage wird nicht geduldet, SZ 29.03.2017, 
1; Leyendecker/Mascolo, Deutsche Po- 
litiker auf Ankaras Geheimdienst-Liste, 
Staatsfeinde auf 69 Seiten, SZ 30.03.2017, 
1, 5; Leyendecker/Mascolo, Fidans Liste, 
SZ 01./02.04.2017, 8; Regeln für Moschee- 
vereine, SZ 03.04.2017, 6; Ramelsberger, 
Strafanzeige wegen türkischer Spionage, SZ 
04.04.2017, 6; De Maiziere erteilt Islamge- 
setz eine Absage, SZ 05.04.2017, 1, Imame 
scheitern mit Klage, SZ 08./09.04.2017, 
6; Mächtiger Geheimdienst, Der Spiegel 
14/2017, 24; Kazim, Erdogans weltwei- 
tes Spitzelnetz, Der Spiegel 14/2017, 76 £.; 
Kampf/Spinrath, Zehn Beschuldig- 
te verschwunden, www.tagesschau.de 
01.05.2017; Berlin finanziert Ditib wieder, 
SZ 02.05.2017, 6; BBA-Laudatio: https:// 
bigbrotherawards.de/2017/politik-ditib). 
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B IQ B rotherAwa rds 20 1 1 Ein Rückblick von Frans Jozef Valenta 


Peter Wedde 


Die Eröffnungsrede hielt Peter Wedde 
über die Firma PLT — Planung für Logis- 
tik & Transport GmbH. Sie erhielt den 
BigBrotherAward 2017 in der Kategorie 
Arbeit für ihren PLT Personal-Tracker. 
Dieses Gerät zeigt Arbeitgebern in Echt- 
zeit, wo sich Zeitungsausträger oder Pa- 
ketzusteller befinden und wie schnell sie 
sich bewegen. Diese Totalkontrolle ist 
menschenunwürdig und sinnlos. 


Thilo Weichert 


Die türkisch-islamische Union DITIB 
erhält den BigBrotherAward 2017 in 
der Kategorie Politik dafür, dass bei der 
DITIB tätige Imame für türkische Behör- 
den und für den Geheimdienst MIT ihre 
Mitglieder und Besucher ausspioniert 
und sie so der Verfolgung durch türkisch- 
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INSIEBENTISN 


Rena Tangens erlärte in ihrer Rede, 
warum der deutsche IT-Branchenver- 
band Bitkom den BigBrotherAward 
2017 in der Kategorie Wirtschaft erhielt: 
Für sein unkritisches Promoten von Big 
Data, seine penetrante Lobbyarbeit ge- 
gen Datenschutz und weil er de facto eine 
Tarnorganisation großer US-Konzerne 


staatliche Stellen ausgeliefert haben sol- 
len. Thilo Weichert erläuterte die beson- 
dere Bedeutung dieses Awards, denn er 
richtet sich diesmal nicht gegen eine Da- 
tenkrake, hier geht es um handfestes Be- 
spitzeln, um das Ausnutzen menschlicher 
Kontakte von Angesicht zu Angesicht. 


ist. Bitkom propagiert „Datenreichtum“ 
statt Datensparsamkeit — freie Bahn 
für Big Data Geschäftsmodelle. 8 Pro- 
zent der rund 1.600 Bitkom-Mitglieder 
kommen aus den USA. Mit dabei sind 
Amazon, Apple, Cisco, Ebay, Facebook, 
Google, Hewlett Packard, IBM, Intel, 
Paypal, Xerox und Microsoft. Bitkom 
ist inzwischen eine Lobbyorganisation 
von US-Konzernen, die unter falscher 
Flagge segeln. 


YIROJENKTS 1 


Der Oberbürgermeister von Bielefeld, 
Pit Clausen, zögerte zunächst, der Einla- 
dung von digitalcourage zu folgen und 
fragte sich, ob er wohl Teil einer Preis- 
vergabe sei. Er würdigte die Bedeutung 
der BigBrotherAwards als Institution, 
die „immer öfter‘ Reaktionen bewirkt. 
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Frank Rosengart 


Die Technische Universität München 
und die Ludwig-Maximilian-Universität 
München erhielten den BigBrotherAward 
2017 in der Kategorie Bildung für die Ko- 
operation mit dem Online-Kurs-Anbieter 
Coursera. Coursera als Wirtschaftsunter- 
nehmen verfügt mit den Daten über den 
Lernerfolg der Studierenden über einen 
großen Datenschatz und behält sich vor, 
diesen auch wirtschaftlich zu nutzen. 
Frank Rosengart gab Einblicke in die De- 
tails dieses Geschäftsmodells, bei der die 
Datenschutz-Problematik ausgeblendet 
zu sein scheint. 


Andreas 
Liebold 


Kerstin Demuth 


Der Moderator Andreas Liebold be- 
fragte Kerstin Demuth zum Thema 
„Tadelnde Erwähnungen“. Hier gab es 
Berichte zum Ungang mit Facebook bei 
den öffentlich rechtlichen Medien, zu 
unberechtigten Ausweiskopien, zu Bla- 
BlaCar, Immobilienscout 24, zum Bun- 
desnachrichtendienst (BND), zur Euro- 
päischen Kommission im Zusammen- 
hang mit geplanten Verboten anonymer 
Bezahlungen im Internet, zu WhatsApp 
und zu WordPress / Google Fonts. 
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Rolf Gössner 


Die Bundeswehr und die Bundesmi- 
nisterin für Verteidigung erhielten den 
BigBrotherAward 2017 in der Kategorie 
Behörden für die massive digitale Auf- 
rüstung der Bundeswehr mit dem neuen 
„Kommando Cyber- und Informations- 
raum“ (KdoCIR). Rolf Gössner erläu- 
terte, wie diese digitale Kampftruppe 
mit (geplant) fast 14.000 Dienstkräften 
die Bundeswehr für den Cyberkrieg fit 


padeluun widmete seine Laudatio der 
Firma Prudsys AG. Sie erhielt den Big- 
BrotherAward 2017 in der Kategorie 
Verbraucherschutz, weil sie Software 
anbietet, die Preisdiskriminierung_ er- 
laubt. Diese Software legt einen Preis 
fest, je nachdem, was sie über den je- 
weiligen Kunden herausfinden kann. 
Damit zählt nicht mehr, was ein Produkt 
kostet oder wert ist. So kommt es, dass 


machen will — auch für militärische Cy- 
berangriffe auf IT-Systeme und kritische 
Infrastrukturen anderer Staaten. Mit die- 
ser Militarisierung des Internets beteiligt 
sich die Bundesrepublik am globalen 
Cyber-Wettrüsten durch Trojaner, Viren 
etc. — mit hohem Mißbrauchspotenzial 
ohne Parlamentsbeteiligung, ohne demo- 
kratische Kontrolle und ohne rechtliche 
Grundlage. 


zwei Menschen unterschiedliche Preise 
für die gleiche Ware bezahlen müssen. 
Die Händlerin oder der Händler müssen 
genug über uns wissen, um herauszufin- 
den, welchen größtmöglichen Preis wir 
zu zahlen bereit sind. Im Marketing-Jar- 
gon heißt das: „Preisakzeptanzschwellen 
explorativ dynamisch austesten“. Der 
Händler weiß alles über seine Kunden, 
die Kunden nichts über die Händler. 
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BEICSJeRTelalBırdar-Teialaleiaii-ia 


Datenschutznachrichten aus Deutschland 


Bund 


BKA-Gesetzes-Novelle 
mit Fußfessel verab- 
schiedet 


Der Bundestag beschloss am 
27.04.2017 mit den Stimmen der Gro- 
Ben Koalition die Reform von Befugnis- 
sen des Bundeskriminalamtes (BKA). 
Darin ist u. a. vorgesehen, dass die 
Polizei künftig potenzielle Terroristen, 
sog. „Gefährder“, unter Hausarrest stel- 
len und ihren Aufenthalt elektronisch 
überwachen darf. Linke und Grüne 
lehnten die Gesetzesnovelle ab, mit der 
eigentlich Vorgaben des Bundesver- 
fassungsgerichts (BVerfG) umgesetzt 
werden sollen. Dieses hatte eine frühere 
Novelle des BKA-Gesetzes vor einem 
Jahr teilweise für verfassungswidrig er- 
klärt (BVerfG U. v. 20.04.2016, 1 BvR 
966/09, 1 BvR 1140/09). Einzelne Be- 
stimmungen waren stark unverhältnis- 
mäßig, die Lizenz zum großen Lausch- 
angriff auch auf Kontakt- und Begleit- 
personen von Verdächtigen war absolut 
verfassungswidrig. 

In der Debatte vor der Gesetzesverab- 
schiedung rühmte sich Bundesinnenmi- 
nister Thomas de Maiziere, an diesem 
Tage werde „Großes für die Sicherheit 
der Bürger“, und das beinahe „im Stun- 
denrhythmus“, beschlossen. Es sei des- 
halb „ein guter Tag für die Sicherheit 
und ein guter Tag für Deutschland“. 

Gefährder ist gemäß dem neuen Ge- 
setz eine Person, bei der es „Anhalts- 
punkte“ dafür gibt, dass sie eine Straftat 
im Bereich des internationalen Terroris- 
mus begehen könnte oder deren „indi- 
viduelles Verhalten“ es wahrscheinlich 
macht, dass eine solche Straftat geplant 
wird. Widersetzt sich ein Gefährder dem 
Hausarrest, droht ihm eine Haftstrafe 
von bis zu drei Jahren. Bei kleineren 
Verstößen wie bei Versuchen, die Fuß- 
fessel zu manipulieren, sollen Geldstra- 
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fen verhängt werden. 

Der Bundesrat hatte befürchtet, dass 
die Länder größtenteils auf den nicht 
näher bezifferten Kosten für die Gefähr- 
derüberwachung sitzenbleiben dürften. 
Er forderte daher eine Art Übernahme- 
garantie der benötigten Geldmittel. Die 
Bundesregierung lehnte dies ab. Mo- 
mentan tragen deutschlandweit rund 90 
Personen eine Fußfessel von 3M und 
werden zentral von Bad Vilbel aus im 
Namen der Länderpolizeien überwacht. 
Nach ersten BKA-Schätzungen könnten 
nun zunächst 130 „hochaktive Perso- 
nen“ aus der Gefährderszene dazukom- 
men. 

Die Länderkammer sorgte sich u. a. 
auch, ob die vorgesehenen Regeln zum 
Datenschutz bei der Informationsüber- 
mittlung vor allem im internationalen 
Bereich den Maßstäben aus Karlsruhe 
genügen. Die Konferenz der Daten- 
schutzbehörden des Bundes und der 
Länder hatte zuvor gegen den Regie- 
rungsvorschlag gravierende Bedenken 
vorgebracht. Die DatenschützerInnen 
monierten, dass „wichtige Datenschutz- 
regeln und Verfahrenssicherungen“ im 
gesamten Polizeirecht zurückgenom- 
men würden. Das Vorhaben der Bun- 
desregierung beschränke sich aber nicht 
darauf, die Vorgaben des Verfassungs- 
gerichts oder weitere Regeln der EU 
umzusetzen. Vielmehr werde das poli- 
zeiliche Datenschutzrecht grundlegend 
verändert und auf den Kopf gestellt, was 
sich zudem auch auf Polizeibehörden 
der Länder auswirke. 

So wird der Informationsverbund für 
die Polizei des Bundes und der Länder 
völlig neu gefasst. Dieser ist dann nicht 
mehr nach einzelnen Dateien unter- 
gliedert, was, so die Datenschutzbeauf- 
tragten, „zu unverhältnismäßig weitrei- 
chenden Speicherungen“ führt. Zudem 
erklärt der Entwurf Dateierrichtungsan- 
ordnungen für verzichtbar, die bisher 
erforderlich sind, um Datenbanken wie 
die Anti-Terror- oder die Hooligan-Datei 


erstellen zu dürfen. Dieses Instrument 
war bislang „Ausgangspunkt sowohl 
für datenschutzrechtliche Kontrollen als 
auch die Selbstkontrolle der Polizeibe- 
hörden“. In den Anordnungen werde im 
Einklang mit der Verfassung festgelegt, 
„zu welchen Zwecken personenbezoge- 
ne Daten gespeichert sind“. 

Das Gesetz erlaubt es, Informationen 
zu allen erfassten Personen „themen- 
übergreifend“ zu verknüpfen und mitei- 
nander abzugleichen. Zugleich verkürzt 
er die Kontrollmöglichkeiten der Da- 
tenschutzbeauftragten. Künftig dürfen 
alte Informationsbestände auch zu le- 
diglich Verdächtigen „bei jedem neuen 
Speicheranlass ungeprüft weiter fortge- 
schrieben werden“. Dafür soll es schon 
genügen, wenn die betroffene Person 
als Zeuge oder Kontaktperson erneut 
auffällig wird. Auch dies verstößt nach 
Ansicht der DatenschützerInnen „gegen 
das durch die ständige Rechtsprechung 
des Bundesverfassungsgerichtes bekräf- 
tigte Übermaßverbot“. 

Die vorgesehene Reform hatten auch 
andere ExpertInnen in einer Anhörung 
im Bundestag am 20.03.2017 kritisiert. 
Der Mainzer Staatsrechtler Matthias 
Bäcker befürchtete, dass der Entwurf 
und die darin skizzierte „fundamentale 
Umgestaltung“ des BKAs entweder in 
Karlsruhe scheitere oder von Verwal- 
tungsgerichten stark eingeschränkt wer- 
de. Ulf Buermeyer, Richter am Land- 
gericht Berlin, gab zu bedenken, dass 
die Grundsätze der Datensparsamkeit 
und der Zweckbindung in ihr Gegenteil 
verkehrt würden. Der „Terrorismusteil“ 
des Gesetzes wäge nicht hinreichend 
zwischen Freiheit und Sicherheit ab, 
sondern schramme „konsequent an der 
rechten Leitplanke entlang“. Besonders 
augenfällig werde dies etwa bei den Be- 
fugnissen für den Einsatz von Staatstro- 
janern. 

Auf weniger Kritik war elektronische 
Fußfessel für terroristische „Gefährder“ 
gestoßen. Der Würzburger Staatsrecht- 


DANA » Datenschutz Nachrichten 2/2017 


ler Kyrill-Alexander Schwarz bezeich- 
nete eine solche Aufenthaltsüberwa- 
chung als „einen Akt experimenteller 
Gesetzgebung“. Natürlich werde diese 
Maßnahme „einen zu allem Entschlos- 
senen“ nicht davon abhalten können, 
Anschlagspläne in die Tat umzusetzen. 
Sie sei aber milder als etwa ein auch 
denkbarer „Präventivgewahrsam“. Der 
Bonner Rechtswissenschaftler Klaus 
Ferdinand Gärditz sprach von einem 
„sinnvollen Kompromiss“, mit dem sich 
zumindest die Vorbereitung von Terror- 
attacken erheblich erschweren lasse. 

Schwarz-Rot besserte mit einem Än- 
derungsantrag parlamentarisch trotz der 
teilweise vorgetragenen Fundamental- 
kritik fast nur noch „redaktionelle Ver- 
sehen“ aus, sodass nun etwa Löschfris- 
ten zumindest wieder greifen. Zudem 
stellten die Regierungsfraktionen klar, 
dass das BKA auch „Altdaten“ für eine 
Übergangsfrist bis Mai 2018 weiterver- 
wenden darf, ohne diese einzeln neu 
kennzeichnen zu müssen. Generell will 
der Gesetzgeber nach den Vorgaben des 
Verfassungsgerichts etwa die Lizenzen 
zum großen Lauschangriff etwas be- 
schränken oder die Voraussetzungen für 
den Einsatz von Bundestrojanern deutli- 
cher fassen. 

Die _Bundesdatenschutzbeauftragte 
Andrea Voßhoff sieht mit dem Gesetzes- 
beschluss die Zweckbindung bei der Po- 
lizei und damit einen „Grundpfeiler des 
deutschen Datenschutzrechts“ gefähr- 
det. Informationen zu Drogendelikten, 
die bisher zum Beispiel in der Falldatei 
Rauschgift gespeichert wurden, können 
künftig mit anderen Daten verknüpft 
und ausgewertet werden. Dies sei etwa 
im Zusammenhang mit Steuerstraftaten 
oder bei Polizeikontrollen im Umfeld 
von Demonstrationen der Fall und an- 
gesichts der technischen Entwicklung 
problematisch. 

Am gleichen Tag beschloss der Bun- 
destag auch ein Gesetz zum besseren 
Schutz „von Vollstreckungsbeamten 
und Rettungskräften“, wonach künftig 
Attacken gegen diese schon bei „allge- 
meinen Diensthandlungen“ wie einer 
Streifenfahrt und nicht mehr nur bei 
Vollzugshandlungen wie einer Festnah- 
me mit bis zu fünf Jahren Haft geahn- 
det werden können. Beschlossen wurde 
zudem ein Gesetz zur Speicherung von 
Fluggastdaten (Krempl, BKA-Gesetz: 
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Bundestag stimmt für E-Fußfessel für 
Gefährder und „Polizei-Cloud“, www. 
heise.de 27.04.2017; Krempl, Da- 
tenschützer lehnen geplante Novelle 
des BKA-Gesetzes als verfassungs- 
widrig ab, www.heise.de 21.03.2017; 
Rossmann, Fesseln auf Verdacht, SZ 
28.04.2017, 5). 


Bund 


Bundestag beschließt 
PNR-Gesetz zu Fluggast- 
daten 


Der Bundestag beschloss mit den Stim- 
men der Großen Koalition und nur mit 
formalen Änderungen am 27.04.2017 
ein Gesetz, das dem Staat erlaubt, von 
Mai 2018 an auch hierzulande Flugpas- 
sagierdaten fünf Jahre lang zu sammeln, 
automatisiert mit Sicherheitsdateien ab- 
zugleichen sowie anderweitig auszuwer- 
ten. Vorbilder hierfür sind die Praktiken 
in den USA oder Großbritannien. 

Die Opposition stimmte geschlossen 
gegen das Vorhaben, mit dem eine EU- 
Richtlinie umgesetzt werden soll. Ins- 
gesamt werden künftig 60 Datenkate- 
gorien erfasst, darunter Essenswünsche, 
E-Mail- und andere Kontaktadressen so- 
wie eventuelle Vielfliegernummern. Die 
Passenger Name Records (PNR) müssen 
zunächst sechs Monate „unmaskiert“, 
danach viereinhalb Jahre ohne direk- 
ten Personenbezug gespeichert werden. 
Gegebenenfalls sollen die Daten auch 
im zweiten Stadium „re-identifiziert“ 
werden können. Dazu kommen weitge- 
hende Bestimmungen zum Informati- 
onsaustausch mit anderen Mitgliedslän- 
dern, Europol und Drittstaaten. 

Von der Option, neben Flügen aus 
der EU hinaus auch innereuropäische 
Strecken zu erfassen, soll laut dem 
Beschluss Gebrauch gemacht werden. 
Als nationale PNR-Zentralstelle ist das 
Bundeskriminalamt (BKA) vorgesehen. 
Es soll die Informationen an andere Si- 
cherheitsbehörden einschließlich der 
Geheimdienste weitergeben dürfen. 
Das Fluggastdaten-Informationssystem 
einzurichten wird laut offiziellen Schät- 
zungen 78 Millionen Euro kosten. Dazu 
kommen sollen 65 Millionen Euro jähr- 
liche Betriebskosten. Die Luftfahrtun- 
ternehmen werden laut Regierungsan- 


gaben einmalig bis zu 3,96 Millionen 
Euro sowie zusätzlich jährlich zwischen 
594.000 und 3,7 Millionen Euro auf- 
wenden müssen. 

Der Europäische Gerichtshof (EuGH) 
prüft parallel das PNR-Abkommen zwi- 
schen der EU und Kanada und dabei 
auch, ob diese Form der Vorratsdaten- 
speicherung grundsätzlich rechtmäßig 
ist. Das Gutachten soll bald vorliegen. 
CDU/CSU und SPD wollten trotz der 
Bitte der Datenschutzbeauftragten And- 
rea Voßhoff mit der Gesetzgebung nicht 
warten, um die Maßgaben der Luxem- 
burger Richter noch zu berücksichtigen. 
Gegebenenfalls muss der Gesetzgeber 
also bald schon nachbessern (Krempl, 
Bundestag bringt Fluggastdatenspei- 
cherung auf den Weg, www.heise.de 
28.04.2017). 


Bund 


BAMF soll Handys von 
Flüchtlingen auslesen 
dürfen 


Mitarbeiter des Bundesamtes für Mi- 
gration und Flüchtlinge (BAMF) sollen 
gemäß einem Gesetzentwurf des Bun- 
desinnenministeriums (BMI), über den 
die Presse berichtete, künftig die Mo- 
biltelefone von Flüchtlingen überprüfen 
dürfen, um deren Identität und Herkunft 
festzustellen. Danach soll „zur besseren 
Durchsetzung der Ausreisepflicht“ die 
bisher nötige Einwilligung der Betroffe- 
nen künftig umgangen werden können. 
Bis zur Ressortabstimmung will das 
BMI keine weiteren Einzelheiten be- 
kanntgeben. 

Ausländerbehörden ist zwar seit der 
Novelle des Aufenthaltsrechts von 2015 
der Zugriff auf Mobiltelefone und ande- 
re Datenträger im Prinzip erlaubt. Das 
BAMF war dabei aber bisher auf die 
Zustimmung der Asylsuchenden ange- 
wiesen. Ansonsten bedarf das Auslesen 
von Handys hierzulande normalerwei- 
se eines richterlichen Beschlusses und 
ist nur möglich, wenn der Verdacht auf 
eine Straftat vorliegt. Um die Herkunft 
eines Menschen festzustellen, hat das 
BAMEF bisher mit Sprachgutachten und 
mit gezielten Nachfragen, zum Beispiel 
nach Staatsoberhäuptern des behaupte- 
ten Herkunftslandes oder touristischen 
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Attraktionen in der behaupteten Ge- 
burtsstadt, versucht, mehr Klarheit zu 
bekommen. 

Gemäß den veröffentlichten Unter- 
lagen soll die künftige Untersuchung 
von Mobiltelefonen und anderen Da- 
tenträgern in großem Umfang stattfin- 
den können. Im Jahr 2016 habe man 
bei 50% bis 60% der Asylsuchenden 
ein solches Vorgehen in Betracht gezo- 
gen, also bei etwa 150.000 Menschen. 
Die Außenstellen des BAMF sollen mit 
forensischer Hard- und Software aufge- 
rüstet werden, so dass täglich ca. 2.400 
Datenträger ausgelesen werden können. 
Gemäß dem Ausländerzentralregister 
befanden sich Anfang 2017 213.000 
„vollziehbar ausreisepflichtige Auslän- 
der“ in Deutschland. 

Mit dem Gesetz soll verhindert wer- 
den, dass Flüchtlinge bei Behörden 
verschiedene oder falsche Personalien 
angeben. Dies geschieht in manchen 
Fällen aus Angst vor drohender Ab- 
schiebung oder auch, um mehrfach So- 
zialleistungen zu kassieren. So hatte sich 
beispielsweise der Attentäter vom Berli- 
ner Breitscheidplatz, Anis Amri, hinter 
14 verschiedenen Identitäten versteckt. 
Der Bundesrat hatte 2015 angemerkt, 
dass das Auslesen von Mobilgeräten für 
die Abschiebung problematisch sei, weil 
es den „unantastbaren Kernbereich per- 
sönlicher Lebensgestaltung“ verletzen 
könnte. Die Grenze zwischen Daten, die 
für die Identitätsfeststellung geeignet 
seien und Daten, die unter dem Schutz 
der Privatsphäre stünden, seien „flie- 
ßend und nicht rechtssicher abgrenz- 
bar“. Die Geodaten der Mobiltelefone 
und gespeicherte Kontakte sollen dar- 
über Aufschluss geben, woher jemand 
stammt oder wo er oder sie sich zuletzt 
aufgehalten hat. 

In einem ersten Gesetzentwurf vom 
Herbst 2016 wurde noch zwischen ab- 
gelehnten Asylbewerbern unterschie- 
den, die ohne eigenes Verschulden nicht 
ausreisen können, beispielsweise wegen 
Krankheit oder aus familiären Gründen, 
und solchen, die durch Täuschung über 
ihre Identität ein Abschiebehindernis er- 
zwingen. Von dieser Eingrenzung war 
in dem neuen Referentenentwurf keine 
Rede mehr. 

Eine „vollständige Sicherung von Da- 
tenträgern von bereits länger in Deutsch- 
land aufhältigen Asylsuchenden“ werde 
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zwar nicht angestrebt. Doch senkt der 
Gesetzentwurf auch die Hürden bei der 
Weitergabe von besonders geschützten 
Daten aus medizinischen Attesten. 

In Nordrhein-Westfalen waren Febru- 
ar 2017 220 Personen als Gefährder ein- 
gestuft, 41 davon sind in Deutschland 
lebende Menschen einer anderen Natio- 
nalität. Etwa jeder Vierte von ihnen war 
„vollziehbar“ zur Ausreise verpflichtet. 
Fünf von ihnen waren in Haft. Die an- 
deren fünf waren ein Palästinenser, bei 
dem der Reiseausweis nicht zur Rück- 
kehr berechtigt, ein Flüchtling, bei dem 
es ein Abschiebeverbot des BAMF gibt, 
sowie ein Tunesier, ein Marokkaner und 
ein Jordanier. Im Fall des Gefährders 
aus Jordanien läuft das sog. Passer- 
satzverfahren schon seit siebeneinhalb 
Jahren (Kampf/Leyendecker, Das Han- 
dy als Pass-Ersatz, SZ 20.02.2017, 5; 
Kampf, Handys von Flüchtlingen im 
Visier, www.tagesschau.de 19.02.2017). 


Bund 


Automatisierter Zugriff 
der Geheimdienste auf 
Passbilder? 


Die Bundesregierung will den Ämtern 
für Verfassungsschutz und dem Bun- 
desnachrichtendienst (BND) den ver- 
deckten Zugriff auf die digitalisierten 
Passbilder der Bundesbürger erlauben. 
Das sieht der Regierungsentwurf eines 
„Gesetzes zur Förderung des elektro- 
nischen Identitätsnachweises“ vor, der 
am 27.04.2017 im Bundestag zum zwei- 
ten Mal debattiert und anschließend 
verabschiedet werden sollte (BT-Drs. 
18/11279 v. 22.02.2017). Ziel der Re- 
gelung ist es laut Bundesregierung, die 
Online-Ausweisfunktion des elektro- 
nischen Personalausweises leichter an- 
wendbar und attraktiver zu machen. Der 
Entwurf sieht vor, dass jeder neue Per- 
sonalausweis künftig mit einer einsatz- 
bereiten Funktion zum elektronischen 
Identitätsnachweis ausgegeben wird. 
Unternehmen und Behörden sollen zu- 
dem leichter eine Berechtigung erhalten, 
um Online-Ausweisfunktionen anzubie- 
ten. In Fällen, in denen das persönliche 
Erscheinen bei Behörden oder Banken 
unumgänglich ist, soll dort der Personal- 
ausweis künftig auch eingesetzt werden, 


um das Verfahren zu beschleunigen. 

Die Bundesbeauftragte für den Da- 
tenschutz und die Informationsfreiheit 
(BfDI), Andrea Voßhoff (CDU), hatte 
in einer Expertenanhörung_ kritisiert, 
durch die geplanten Zugriffsrechte ent- 
stehe ein „nahezu voraussetzungsloser 
Abruf des Lichtbildes“ durch Polizei 
und Nachrichtendienste. Aufgrund der 
von verschiedenen Seiten geäußerten 
Bedenken haben Union und SPD den 
Punkt kurzfristig von der Tagesord- 
nung genommen. So meinte der SPD- 
Innenpolitiker Mahmut Özdemir: „Wir 
haben Redebedarf“. Schon bislang kön- 
nen Sicherheitsbehörden auf Passbilder 
zugreifen, ohne dass Pass- oder Melde- 
ämter etwas merken, wenn es um Straf- 
verfolgung geht. Nach dem Entwurf 
soll dies auch zur Gefahrenabwehr und 
generell für alle Geheimdienste möglich 
werden. So soll verhindert werden, dass 
Betroffene mitbekommen, wenn sie ins 
Visier geraten. 

Schon seit November 2005 werden 
die PassantragstellerInnen gebeten, ei- 
nen möglichst „neutralen“ Gesichtsaus- 
druck beim Erstellen ihrer Passfotos zu 
wählen, um eine möglichst zuverlässige 
biometrische Zuordnung vornehmen zu 
können und Bilder verfügbar zu haben, 
die notfalls für Fahndungen genutzt 
werden können. Inzwischen wird das 
Bild auch digital abgespeichert. Seit 
2007 dürfen Polizei und Ordnungsbe- 
hörden automatisiert auf die Bildbe- 
stände zugreifen, ohne eine Begründung 
angeben zu müssen, eine Möglichkeit 
die nun auch zur Gefahrenabwehr sowie 
den Verfassungsschutzbehörden, dem 
BND und dem Militärischen Abschirm- 
dienst eingeräumt werden soll (Passbild 
u. Passbilder für Geheimdienste, SZ 
27.04.2017, 4 u. 6). 


Bundesweit 


Antifolterstelle kritisiert 
Haftzustände 


Die regierungsunabhängige „Nationa- 
le Stelle zur Verhütung von Folter“ hat 
menschenunwürdige Zustände in eini- 
gen deutschen Haftanstalten festgestellt. 
Nach Besuchen von Gefängnissen und 
Polizeiwachen kritisierte sie, dass die 
Intimsphäre von Gefangenen oft nicht 
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ausreichend geschützt sei. So seien 
etwa Einzelzellen mit zwei Gefangenen 
belegt, ohne dass die Toilette abgetrennt 
sei. Dies verletze die Menschenwürde. 

Die Stelle wurde auf Basis der Anti- 
folterkonvention der Vereinten Natio- 
nen 2009 geschaffen, um die Wahrung 
der menschenwürdigen Unterbringung 
und Behandlung im Freiheitsentzug si- 
cherzustellen. Es gibt in Deutschland 
etwa 13.000 Einrichtungen, in denen 
Menschen in irgendeiner Form die Frei- 
heit entzogen wird, von Justizvollzugs- 
anstalten (JVA) über Jugendhilfeein- 
richtungen bis hin zu Pflegeheimen, wo 
Senioren mitunter fixiert werden. In ih- 
rem aktuellen Bericht für das Jahr 2016, 
in dem etwa 70 Häuser besucht wurden, 
bemängelt die Menschenrechtsorgani- 
sation, dass in Haftzellen einiger Ge- 
fängnisse und Polizeistationen selbst 
der Toilettenbereich videoüberwacht 
sei. Erwähnt werden Frauengefängnisse 
in Brandenburg, Nordrhein-Westfalen, 
Hamburg und Bremen. Die Aufnahmen 
liefen in Sicherheitszentralen auf, in 
denen auch Männer vor den Monitoren 
säßen. Dass eine Überwachung auch 
menschenwürdig möglich sei, zeige 
vorbildlich etwa die JVA in Rohrbach in 
Rheinland-Pfalz. Dort werde der Toilet- 
tenbereich nur verpixelt dargestellt. Kri- 
tisch gesehen wird auch, wenn sich Ge- 
fangene vollständig entkleiden müssen, 
um durchsucht zu werden. Dies sei ein 
„schwerwiegender Eingriff“ in die Per- 
sönlichkeitsrechte und dürfe nicht zur 
Routine werden (Kastner, Videokamera 
auf der Toilette, SZ 21.05.2017, 6). 


Bayern 


Fußfessel für Stalker? 


Bayerns Justizminister Winfried Baus- 
back (CSU) will Stalkern künftig elekt- 
ronische Fußfesseln anlegen lassen. Da- 
mit sollten Opfer vor Wiederholungstä- 
tern besser geschützt werden: „Stalking 
heißt: Die Täter nehmen den Opfern die 
Möglichkeit, ihr normales Leben, einen 
normalen Alltag zu leben. Deshalb for- 
dere ich die elektronische Fußfessel für 
verurteilte Stalker, von denen weiter- 
hin Stalking-Gefahr ausgeht.“ Dasselbe 
gelte für Menschen, die wiederholt und 
schwer gegen gerichtliche Kontaktver- 
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bote nach dem Gewaltschutzgesetz ver- 
stoßen. Das Thema soll Gegenstand der 
Justizministerkonferenz werden. Rund 
22 000 Fälle werden demnach pro Jahr 
in Deutschland angezeigt (Fußfessel für 
Stalker, SZ 02.05.2017, 6). 


Niedersachsen 


Datenschutzbeauftragte 
beanstandet polizeilichen 
Bodycam-Pilotversuch 


Barbara Thiel, die Landesbeauftrag- 
te für den Datenschutz in Niedersach- 
sen, bewertet den seit Dezember 2016 
stattfindenden Pilotversuch der nieder- 
sächsischen Polizei mit Bodycams als 
rechtswidrig. Dem Einsatz der Kame- 
ras, die Polizisten auf ihren Schultern 
tragen, fehle die Rechtsgrundlage. Thiel 
beanstandete den Pilotversuch förm- 
lich. Das Innenministerium hatte keine 
so genannte Vorabkontrolle erstellt und 
den Piloten trotz Aufforderung nicht 
beendet. Die Vorabkontrolle dient der 
Prüfung, ob die Datenverarbeitung an- 
gemessen und sicher ist, und wird nach 
dem Niedersächsischen Datenschutzge- 
setz zwingend vorgeschrieben. Sie muss 
vorgenommen werden, bevor eine neue 
Technik eingeführt wird. 

Der Stellvertreter von Thiel, Chris- 
toph Lahmann, erläuterte: „Eine aus- 
drückliche Befugnisnorm ist zwingend 
erforderlich, um die Anfertigung von 
Bildaufnahmen und damit den Eingriff 
in das Grundrecht auf informationelle 
Selbstbestimmung zu rechtfertigen“. 
Körperkameras griffen verglichen mit 


anderen Formen der Videoüberwa- 
chung besonders schwerwiegend in die 
Grundrechte ein, da die Kameras direkt 
in Gesichtshöhe die Betroffenen erfass- 
ten und regelmäßig unbeteiligte Drit- 
te aufgenommen würden. Lahmann: 
„Wir sind nicht grundsätzlich gegen 
Bodycams bei der Polizei — die Ka- 
meras dürfen aber nicht an Recht und 
Gesetz vorbei betrieben werden“. Der 
niedersächsische Landtag berät einen 
Gesetzentwurf der Landesregierung zur 
Überarbeitung des niedersächsischen 
Polizeigesetzes, der eine Regelung für 
Körperkameras vorsieht. Wenn diese 
Neuregelung beschlossen werde und 
in Kraft getreten sei, dürften die Body- 
cams eingesetzt werden. 

In anderen Bundesländern laufen 
ebenso Pilotversuche mit Bodycams, 
die Polizisten vor allem zu ihrem eige- 
nen Schutz tragen. In Rheinland-Pfalz 
kritisierte der dortige Beauftragte Dieter 
Kugelmann, dass dabei neben Bildern 
„auch Sprache“ aufgezeichnet werde. 
Die Rechtsgrundlagen erlaubten Ton- 
aufnahmen zwar grundsätzlich, er halte 
diese Praxis aber für sehr bedenklich. 
In Hamburg wurde für die Bodycams 
das Gesetz über die Datenverarbeitung 
der Polizei (PolDVG) geändert. Da- 
nach ist der Einsatz „technischer Mittel 
zur Anfertigung von Bild- und Tonauf- 
zeichnungen“ für „Maßnahmen zur Ge- 
fahrenabwehr oder zur Verfolgung von 
Straftaten oder Ordnungswidrigkeiten 
in öffentlich zugänglichen Bereichen“ 
zulässig (Wilkens, Datenschutzbeauf- 
tragte: Niedersächsische Polizei testet 
Bodycams rechtswidrig, www.heise.de 
08.01.2017). 


Datenschutznachrichten aus dem Ausland 


UN-Sonderberichter 
statter: Massenüberwa- 
chung nicht effektiv 


In einem Bericht vom 24.02.2017 
kommt der UN-Sonderberichterstatter 
für das Recht auf Privatsphäre, Joseph 


Cannataci, zu dem Schluss, dass die 
umfassenden Überwachungsmaßnah- 
men, die in Deutschland, Frankreich, 
Großbritannien und den USA eingeführt 
wurden, weder effektiv noch verhältnis- 
mäßig sind. Er warnt davor, große Da- 
tensammlungen anzulegen, die in den 
Händen einer schlechten Regierung zu 
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einer Waffe gegen die eigene Bevölke- 
rung werden können. Man dürfe in der 
Sicherheitspolitik jetzt „nicht die Angst- 
karte spielen“. Stattdessen plädiert er 
für wirksame Maßnahmen, die nicht 
unverhältnismäßig in die Privatsphäre 
aller Menschen eingreifen und erinnert 
daran, dass das Recht auf Privatsphäre 
universell ist. 

Der Bericht des UN-Sonderbericht- 
erstatters für das Recht auf Privat- 
sphäre:  https://www.documentcloud. 
org/documents/3514983-UN-special- 
rapporteur-on-the-right-to-privacy.html 


EU 


110 Mio. € Strafe ge- 
gen Facebook wegen 
Falschangaben zum Da- 
tenmanagement 


Die EU-Kommission teilte am 
18.05.2017 mit, dass sie gegen Face- 
book 110 Millionen Euro Strafe ver- 
hängt, weil das US-Unternehmen bei 
der Übernahme von WhatsApp irrefüh- 
rende Angaben gemacht hat. Facebook 
hat nach Angaben der Kommission bei 
der Anmeldung der Übernahme des 
Messenger-Dienstes im Jahr 2014 er- 
klärt, dass es nicht zuverlässig möglich 
sein werde, einen automatischen Daten- 
abgleich zwischen den Benutzerkonten 
beider Dienste einzurichten. Im August 
2016 hatte Facebook dann jedoch ange- 
kündigt, künftig die Telefonnummern 
von WhatsApp-Nutzenden mit Face- 
book-Profilen zu verknüpfen. Wegen der 
damit verbundenen Täuschung erfolgte 
nun die Sanktion. Die Höhe der Geldbu- 
Be begründete Wettbewerbskommissa- 
rin Margrethe Vestager mit der abschre- 
ckenden Wirkung für falsche Angaben 
bei Verfahren zur Fusionskontrolle: 
„Die Kommission hat festgestellt, dass 
ein automatischer Abgleich der Face- 
book- und der WhatsApp-Nutzerprofile 
— entgegen den von Facebook im Rah- 
men des Fusionskontrollverfahrens von 
2014 gemachten Angaben - bereits im 
Jahr 2014 technisch möglich war, und 
dass den Facebook-Mitarbeitern diese 
Möglichkeit bekannt war. Die Kom- 
mission muss sich beim Erlass ihrer 
Beschlüsse über die Auswirkungen von 
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Zusammenschlüssen auf den Wettbe- 
werb auf umfassende und präzise Infor- 
mationen stützen können.“ 

Facebook betonte dagegen: „Wir ha- 
ben seit den allerersten Kontakten zur 
Kommission nach bestem Wissen und 
Gewissen gehandelt und versucht, zu 
jeder Zeit korrekte Informationen zu 
liefern.“ Die Fehler in den Papieren 
von 2014 seien keine Absicht gewesen. 
Zudem habe die Kommission bestätigt, 
dass sie für das Ergebnis des Geneh- 
migungsverfahrens nicht entscheidend 
gewesen seien. Tatsächlich erklärte Ves- 
tagers Behörde, Facebooks unrichtige 
Angaben seien zwar relevant, aber nicht 
ausschlaggebend gewesen. Die Kom- 
mission habe schon damals auch das 
hypothetische Szenario durchgespielt, 
dass ein Nutzerabgleich möglich wäre. 
Der jetzige Beschluss habe deshalb kei- 
ne Auswirkungen auf die 2014 erteilte 
Genehmigung. 

Facebook hatte im Februar 2014 für 
WhatsApp 19 Mrd. US-Dollar ausge- 
geben. Im Kaufpreis inbegriffen waren 
nicht nur die Marke und die Chat-Soft- 
ware, sondern auch Hunderte Millionen 
Telefonnummern, die mit WhatsApp 
verknüpft sind. Schon damals befürchte- 
ten DatenschützerInnen, dass Facebook 
die neuen Daten mit den vorhandenen 
Informationen bei Facebook verbindet 
(DANA 2/2014, 82). WhatsApp hatte 
sich damals eindeutig festgelegt: „Und 
das wird sich für euch, unsere Benutzer, 
ändern: Nichts.“ Zwar gab es kleine Ver- 
besserungen bei dem Dienst, z. B. wur- 
de eine Ende-zu-Ende-Verschlüsselung 
eingeführt. Doch September 2016 än- 
derte WhatsApp die Nutzungsbedingun- 
gen und erlaubte, dass Telefonnummern 
an Facebook übertragen werden können, 
verbunden mit Informationen, wann und 
wie häufig eine NutzerIn die App ver- 
wendet. Zweck des Abgleichs sollte es 
sein, die Werbung auf Facebook zu ver- 
bessern, also dafür zu sorgen, dass Wer- 
bung noch besser personalisiert werden 
kann. 

Damals kritisierte Klaus Müller vom 
Verbraucherzentrale Bundesverband: 
„Verbraucher vertrauten darauf, dass 
ihre Daten allein bei WhatsApp bleiben 
und kein Datentransfer zu Facebook er- 
folgt. Ihr Vertrauen wurde enttäuscht“ 
(DANA 4/2016, 192). Der Hamburgi- 
sche Datenschutzbeauftragte Johannes 


Caspar verbot die Weitergabe der Han- 
dynummern (DANA 4/2016, 194 f.). 
Facebook wehrte sich vor Gericht und 
verlor vorläufig Ende April 2017, so 
dass deutsche Nutzende zunächst vor 
dem Datenaustausch geschützt sind. 
Doch hat das Unternehmen angekün- 
digt, in Berufung zu gehen. Caspar be- 
grüßte die Strafe der EU-Kommission: 
„Die Luft in der EU wird zusehends 
dünner für Unternehmen, die den Vor- 
gaben des Datenschutzrechts nicht ent- 
sprechen. Unternehmen, die dies nicht 
erkennen, werden insbesondere auf dem 
EU-Markt keinen Erfolg haben. Zuletzt 
häuften sich Strafen gegen Facebook: 
Italienische Behörden verhängten eine 
Woche vor Brüssel eine Geldbuße von 3 
Mio. Euro wegen der Datenweitergabe 
von WhatsApp an Facebook. In Frank- 
reich wurde eine Strafe von 150.000 
Euro gegen Facebook ausgesprochen 
wegen mangelndem Schutz der Nutzen- 
den vor Werbetreibenden. 

Die Geldbuße hätte mehr als doppelt 
so hoch ausfallen können. Die maxima- 
le Strafe in solchen Fällen ist ein Prozent 
des Jahresumsatzes. Strafmildernd wirk- 
te, dass Facebook kooperierte und die 
falschen Angaben einräumte. Der Euro- 
paabgeordnete Markus Ferber (CSU) kri- 
tisierte die Strafhöhe. Der Vorgang zeige, 
mit welcher Naivität die Kommission an 
wettbewerbsrechtliche Fragen der Digi- 
talwirtschaft herangehe: „Vor allem auf 
kartellrechtliche Kennzahlen wie Umsatz 
und Gewinn zu schauen und die wichti- 
ge Rolle, die Daten für Unternehmen der 
Digitalwirtschaft spielen, zu ignorieren, 
wird der Komplexität des Problems nicht 
gerecht. Der FDP-Abgeordnete Miha- 
el Theurer forderte, dass „wir dringend 
neue kartellrechtliche Regeln benötigen, 
die sich nicht nur zuvörderst am Umsatz 
orientieren“. 

Auch das Bundeskartellamt in Bonn 
prüft, ob Facebook seine Marktmacht 
missbraucht, indem es Daten zusam- 
menträgt, ohne die Nutzenden darüber 
genau zu informieren. Dessen Chef An- 
dreas Mundt kritisierte immer wieder, 
dass das bisherige Wettbewerbsrecht für 
die Digitalbranche nicht ausreiche. 

In den USA gab es schon unter Prä- 
sident Barack Obama scharfe Kritik am 
wettbewerbsrechtlichen Vorgehen von 
Brüssel. So waren den US-Behörden 
die Ermittlungen gegen die Steuertricks 
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von Apple ein Dorn im Auge, die 2016 
zu einer verhängten Strafe in Höhe von 
13 Mrd. Euro führten. In einem Papier 
des US-Finanzministeriums vom Au- 
gust 2016 wurde der Kommission vor- 
geworfen, sich wie eine supranationale 
Steuerbehörde“ aufzuspielen. Wegen 
unerlaubter Rabatte wurde 2009 gegen 
Intel eine Zahlung von 1,06 Mrd. Euro 
verhängt. Microsoft erhielt 2013 wegen 
seines Browserzwangs eine Strafe von 
561 Mio. Euro, 2008 wegen zu hoher 
Lizenzgebühren eine Strafe von 899 
Mio. Euro (WhatsApp-Übernahme: EU 
verlangt 110 Millionen Euro Strafe von 
Facebook, www.heise.de 18.05.2017; 
Mühlauer, EU-Kommission bestraft Fa- 
cebook, SZ 19.05.2017, 1, Mühlauer/ 
Strathmann, Sie schlägt wieder zu, SZ 
19.05.2017, 17). 


EU 


Kommission führt Whist- 
leblowing-System ein 


Wer brisante Informationen über ge- 
heime Kartelle oder Verstöße gegen das 
Wettbewerbsrecht hat, kann Hinweise 
dazu jetzt der EU-Kommission anonym 
online zukommen lassen. Das neue Ins- 
trument soll auch abschreckend wirken. 

Die Kommission erhofft sich von dem 
E-Mail-Kommunikationsangebot mehr 
Hinweise auf Kartellrechtsverletzungen. 
Die für Wettbewerbspolitik zuständige 
EU-Kommissarin Margrethe Vestager 
sagte: „Wem Geschäftspraktiken falsch 
erscheinen, der kann nun selbst dazu bei- 
tragen, solche Missstände zu beseitigen.“ 
Insiderwissen könne ein wirksames Mit- 
tel sein, „um die Kommission beim Auf- 
decken von Kartellen und anderen wett- 
bewerbswidrigen Praktiken zu unterstüt- 
zen“. Solche Informationen könnten hel- 
fen, „dass wir mit unseren Ermittlungen 
rasch und effizient ans Ziel kommen“. 

Das System soll es erleichtern, dass 
Wettbewerbswidrigkeiten aufgedeckt 
werden, die der europäischen Wirtschaft 
schweren Schaden zufügen könnten. 
Dazu zählt die Kommission Absprachen 
bei Preisen oder bei Angeboten in Aus- 
schreibungen, „das Zurückhalten von 
Produkten vom Markt“ oder den un- 
gerechtfertigten Ausschluss von Wett- 
bewerbern. Bisher seien die meisten 
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Kartelle über ein spezielles Kronzeu- 
genprogramm aufgedeckt worden. Nun 
werde es auch für nicht direkt an einem 
Komplott beteiligte Einzelpersonen ein- 
facher, die Kommission auf die richtige 
Spur zu bringen. 

Der E-Maildienst ist ein speziell ver- 
schlüsseltes Mitteilungssystem über 
den externen Dienst secway.info, das 
eine wechselseitige Kommunikation 
ermöglicht. Antworten können über ein 
Passwort abgerufen werden. Übermit- 
telt werden ausschließlich die Inhalte 
der Nachrichten. Metadaten, die Rück- 
schlüsse auf die Identität des Absen- 
ders zulassen könnten, bleiben außen 
vor. Die Technik wird der Kommissi- 
on zufolge auch bereits in Behörden in 
Deutschland, Dänemark und anderen 
Mitgliedsstaaten eingesetzt. Eine all- 
gemeine anonyme Mailbox für Whist- 
leblower betreibt die Behörde noch 
nicht. Der EU-Datenschutzbeauftragte 
Giovanni Buttarelli hatte voriges Jahr 
die Verwaltung aufgefordert, „sichere 
Kanäle“ für Hinweisgeber einzurichten 
(Krempl, Kartellrecht: EU-Kommis- 
sion ermuntert zu anonymem Whist- 
leblowing, www.heise.de 17.03.2017). 


Italien 


Millionenstrafe gegen 
WhatsApp wegen 
Verbrauchertäuschung 


Die italienische Wettbewerbsbehör- 
de hat gegen WhatsApp ein Bußgeld in 
Höhe von drei Millionen Euro wegen 
irreführenden Behauptungen gegenüber 
den Nutzenden verhängt. Diese seien 
in dem Glauben gelassen worden, den 
Kurzmitteilungsdienst nicht mehr nut- 
zen zu können, sollten sie den neuen 
Nutzungsbedingungen und insbeson- 
dere der Weitergabe der persönlichen 
Daten an die Konzernmutter Facebook 
nicht komplett zustimmen. Es sei mög- 
lich gewesen, den Nutzungsbedingun- 
gen auch teilweise zuzustimmen und die 
Weitergabe der Daten aus dem Whats- 
App-Account abzulehnen. Mit der Ir- 
reführung der Nutzer habe WhatsApp 
gegen die Vorschriften im Verbraucher- 
kodex verstoßen, erklärte die Behörde 
(WhatsApp muss Strafe in Italien zah- 
len, www.heise.de 13.05.2017). 


Großbritannien 


1,6 Mio. PatientInnen- 
daten des NHS für Deep 
Mind 


Die sog. „künstliche Intelligenz“ (KI) 
erforschende Google-Tochtergesell- 
schaft Deep Mind arbeitet schon längere 
Zeit mit dem staatlichen britischen Nati- 
onal Health Service (NHS) zusammen. 
Die KI-Fachleute haben eine App ent- 
wickelt namens Streams, die Ärzte und 
Krankenpfleger nach einer Testphase 
mittlerweile in mehreren Krankenhäu- 
sern in London in der alltäglichen Be- 
handlung ausprobieren. 

Die App soll den MedizinerInnen da- 
bei helfen herauszufinden, ob eine Pati- 
entln für akutes Nierenversagen anfällig 
ist. Im Zusammenhang damit sterben 
gemäß Angaben des NHS jedes Jahr 
40.000 Menschen in Großbritannien. 
Die NHS-Fachleute schätzen, dass un- 
gefähr ein Viertel davon durch Vorbeu- 
gung verhindert werden kann. Sowohl 
die Krankenhausgruppe Royal Free als 
auch Deep Mind-Mitgründer Demis 
Hassabis teilten über den Kurznachrich- 
tendienst Twitter mit, dass die Rückmel- 
dungen aus der Medizin positiv seien. 

Streitig ist, ob die Kooperation zwi- 
schen der Google-Tochtergesellschaft 
und dem NHS rechtlich einwandfrei 
ist. Um der Medizin-App das Diagnos- 
tizieren beizubringen, hat die britische 
Gesundheitsbehörde den Deep-Mind- 
Forschenden nämlich die Daten von 1,6 
Millionen PatientInnen zur Verfügung 
gestellt, die den entsprechenden Per- 
sonen zugeordnet werden können. Die 
ranghöchste Datenschutzbeauftragte im 
britischen Gesundheitsministerium teil- 
te dem Chef des NHS-Krankenhauses 
Royal Free ihre Bewertung mit, dass die 
Bereitstellung der Patientendaten durch 
den NHS an Deep Mind auf einer „un- 
angemessenen rechtlichen Grundlage“ 
erfolgt sei. Die Meinung ist relevant, 
sie fließt in die offizielle Untersuchung 
dieses Vorgangs durch die britische 
Datenschutzbehörde IOC ein, die sich 
dem Bericht zufolge „kurz vor dem Ab- 
schluss“ befindet. 

Konkret dreht sich die rechtliche De- 
batte darum, ob Deep Mind von jedem 
einzelnen der 1,6 Millionen PatientIn- 
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nen eine persönliche Einverständniser- 
klärung hätte einholen müssen. Nach 
britischem Recht ist es offenbar legal, 
dies auszulassen, wenn die Daten für die 
direkte medizinische Behandlung ver- 
wendet werden. Auf diesem Standpunkt 
stehen die Fachleute von Deep Mind. 
Die Gesundheits-Datenschützerin ar- 
gumentiert hingegen, dass die Daten 
von Deep Mind eben nicht zur direkten 
PatientInnen-Behandlung verwendet 
worden seien, sondern, um besagte Me- 
dizin-App zu „trainieren“ und für den 
NHS zu entwickeln. 

In einer Stellungnahme zu dem Sach- 
verhalt teilte der Klinikbetreiber Royal 
Free mit, dass dieses Projekt „eines der 
ersten seiner Art innerhalb des NHS“ 
sei und es „immer Lektionen gibt, die 
wir aus Pionierarbeit lernen können“. 
Ein Sprecher von Deep Mind erklärte, 
dass die Daten „niemals für kommer- 
zielle Zwecke verwendet worden oder 
mit Google-Produkten, Diensten oder 
Werbung kombiniert worden sind — 
und es niemals werden“. Die Diskus- 
sion über Gesundheitsdaten gewann 
in Großbritannien große Aufmerksam- 
keit auch wegen der eine Woche zuvor 
erfolgenden Cyberattacke durch den 
Wurm „Wannacry“, durch die mehr 
als 220.000 Computer in 150 Ländern 
betroffen waren und auch den Betrieb 
einiger britischer Krankenhäuser tan- 
gierte (Darf Google mit Patientendaten 
forschen? www.faz.net 17.05.2017). 


USA 


Digitalassistenten be- 
kommen zunehmend 
gerichtliches Gehör 


Daten der Computer-Sprachassis- 
tentin „Alexa“ des Internethändlers 
Amazon wurden in den USA erstmals 
in einer Mordermittlung ausgewertet. 
Der US-Konzern gab seinen Widerstand 
gegen den entsprechenden Antrag der 
Ermittlungsbehörden bei einem Gericht 
im US-Bundesstaat Arkansas auf, nach- 
dem der Tatverdächtige selbst der Her- 
ausgabe der Informationen zugestimmt 
hatte. In dem Fall war ein Bekannter 
des Mannes im Herbst 2015 nach einer 
durchzechten Nacht tot in dessen Whirl- 
pool gefunden worden. Die Ermittler 
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vermuteten einen vertuschten Mord, der 
Angeklagte wies die Anschuldigungen 
zurück. Die Polizei erhoffte sich von 
den Daten aus Amazons Netz-Kommu- 
nikationssystem „Echo“ unter anderem 
Informationen darüber, ob jemand in der 
Nacht im Haus wach war und die As- 
sistentin Alexa aktiviert haben könnte. 
Der Beschuldigte hatte erklärt, dass er 
geschlafen und seinen Bekannten erst 
am Morgen tot vorgefunden habe. Das 
Echo-System hat sieben Mikrofone, die 
darauf warten, dass das Schlüsselwort 
„Alexa“ fällt. Daraufhin aktiviert sich 
das Gerät und schickt die Sprachbefeh- 
le zur Verarbeitung in die Cloud weiter. 
Auf Wunsch des Besitzers bestellt Ale- 
xa dann neues Waschmittel, dimmt das 
Licht in der Küche oder dreht die Hei- 
zung im durchdigitalisierten Haushalt 
herab. Auch wenn Alexa gerade nichts 
zu tun hat, hört der Assistent zu und 
kann so Zeuge eines Mordes werden. 

Digitale Assistenten sind auch smar- 
te Fernseher, Fitnessarmbänder oder 
Herzschrittmacher, die Daten mit ge- 
richtlicher Beweiskraft speichern. So 
hatte ein Mann behauptet, er sei beim 
Brand seines Hauses durch ein Fens- 
ter geflüchtet. Die aufgezeichneten 
Messungen seines Herzschrittmachers 
konnten die Behauptung nicht bele- 
gen. Der Herzpatient wurde stattdes- 
sen der Brandstiftung verdächtigt. In 
Pennsylvania widersprachen die Da- 
ten des Fitnessarmbandes einer Frau 
ihrer Behauptung, angegriffen worden 
zu sein. Die Behörden ließen den Fall 
deshalb fallen. 

DatenschützerInnen warnen vor den 
allgegenwärtigen Spionen. Digitalforen- 
siker John Sammons von der Marshall 
University demonstrierte auf einem 
Kongress in New Orleans, was man 
aus dem Speicher eines modernen Au- 
tos auslesen kann: das Adressbuch des 
angeschlossenen Mobiltelefons, An- 
rufliste und Textnachrichten, außerdem 
die Position des Autos, wann gebremst 
und wann die Türen geöffnet wurden. 
Sammons bezeichnet die heutigen Mög- 
lichkeiten als „Spitze des Eisbergs“. Mit 
dem Trend, Alltagsgegenstände ans In- 
ternet anzuschließen, gerate die Privat- 
sphäre zunehmend in Gefahr (Sprach- 
dienst als Zeuge, SZ 08.03.2017, 8; 
Charisius, Zeuge am Handgelenk, SZ 
21.03.2017, 14). 


USA 


Arbeitgeber dürfen 
Gentest fordern 


Das US-Repräsentantenhaus hat ei- 
nem Gesetzentwurf zugestimmt, der 
es Unternehmen erlaubt, künftig Be- 
dienstete dazu zu nötigen, Gentests 
zuzustimmen und deren Ergebnisse of- 
fenzulegen. Amerikanische wie euro- 
päische Humangenetiker sind entsetzt 
und fordern, dass Gentests freiwillig 
erfolgen müssen. Die Europäische Ge- 
sellschaft für Humangenetik (ESHG) 
warnt vor einem Dammbruch mit dem 
Hinweis, dass Informationen über 
mögliche Erkrankungen der Privat- 
sphäre zuzuweisen sind. Hintergrund 
des Protestes der ESHG ist die Be- 
fürchtung, dass Vorstöße im Bereich 
der Bioethik aus den USA nach Euro- 
pa schwappen. 

US-Unternehmen könnten nach dem 
neuen Gesetz firmeninterne Wellness- 
Programme als Schleichweg nutzen, 
um den gesetzlich festgelegten Schutz 
der genetischen Privatsphäre zu um- 
gehen. Wer sich nicht an Programmen 
inklusive Gentest der Firmen beteiligt, 
wird mit deutlich höheren Kranken- 
versicherungskosten überzogen. Wird 
über den Gentest ein erhöhtes Risiko 
für eine Erkrankung festgestellt und 
wären die Betroffenen so für die Un- 
ternehmen eine Belastung, so könnten 
diese die Arbeitsverträge nicht verlän- 
gern. In Deutschland wurde vor Jahren 
eine gesunde Lehrerin nicht verbeam- 
tet, weil ihr Vater an der Erbkrankheit 
Chorea Huntington litt. 

Humangenetiker fordern, dass ge- 
netische Profile nicht zur Grundlage 
für Bewertungen durch Arbeitgeber 
genommen werden dürfen. Zumeist 
lassen sich mit den Ergebnissen von 
Gentests nur Risiken feststellen ohne 
Gewissheit, dass eine Erkrankung er- 
folgen wird. Viele Menschen wollen 
nicht wissen, welche genetischen Be- 
lastungen sie mit sich herumtragen. 
Bei Ergebnissen zu einer sicheren Er- 
krankungen können die Betroffenen 
zumeist nichts tun, um der Erkrankung 
vorzubeugen oder diese hinauszuzö- 
gern (Viciano, Gentests sind Privatsa- 
che, SZ 18./19.03.2017, 33). 
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USA 


Google muss Auslands- 
daten offenlegen 


Ein Amtsrichter in Philadelphia hat 
Google aufgetragen, E-Mails auf aus- 
ländischen Servern an das FBI zu über- 
geben. In einem ähnlichen Fall war das 
Software-Unternehmen Microsoft vor 
einem New Yorker Berufungsgericht 
erfolgreich, als es die Herausgabe der 
Daten von Servern in der Europäischen 
Union verweigerte und auf den Rechts- 
weg in der Europäischen Union (EU) 
verwies. 

Der Richter argumentierte im Google- 
Fall, da Google ohnehin ständig Daten 
zwischen seinen Rechenzentren hin- und 
herkopiere, sei es ja nur nötig, die vom 
FBI angefragten Daten in die USA zu 
transferieren, sodass das FBI darauf zu- 
greifen könne. Nichts spreche gegen eine 
Google-interne Übermittlung von E- 
Mails in die USA, die das Unternehmen 
in seinen internationalen Datenzentren 
speichere. Ein solcher Transfer beein- 
trächtige nicht die Rechte des Nutzers 
und stelle keinen Zugriffauf ausländische 
Daten dar. Zwar gebe es möglicherweise 
eine Verletzung der Privatsphäre, die ge- 
schehe aber beim Öffnen der Mails in den 
USA und nicht im Ausland. Google hatte 
erklärt, dass der Konzern aus technischen 
Gründen seine Daten auf verschiedene 
Server verteile. Deshalb sei mitunter gar 
nicht klar, wo einzelne E-Mails gespei- 
chert seien. 

Google teilte in einer Stellungnahme 
mit, dass der Richter von der bisherigen 
Rechtsprechung abgewichen sei und dass 
man gegen das Urteil Berufung einlegen 
werde. Man werde weiterhin gegen zu 
weitgehende Herausgabebeschlüsse vor- 
gehen. Dem Urteil lässt sich entnehmen, 
dass Google jährlich rund 25.000 Aus- 
kunftsersuchen von Ermittlungsbehörden 
in den USA erhält (Mansmann, Goog- 
le muss ausländische E-Mails an FBI 
übergeben, www.heise.de 05.02.2017; 


Google muss FBI mitlesen lassen, SZ 
06.02.2017, 19). 


USA 


Opencnam sammelt welt- 
weit Daten zum Verkauf 
übers Netz 


Opencnam von der US-Firma Telo 
USA Inc. verkauft weltweit Daten an 
Dritte weiter, z. B. für einen halben 
Cent unsere Namen. Gemäß LinkedIn 
hat die 2015 gegründete Firma ihren 
Sitz in Atlanta und lediglich max. 
50 Mitarbeitende. Das Unternehmen 
wirbt damit, dass es in den USA eine 
Telefonnummernabdeckung von 87% 
(204 Mio.) habe, weltweit außerhalb 
der USA immerhin noch von 57% (4,5 
Mrd.) und in 229 Staaten seine Diens- 
te bereitstelle. Auf der Seite www. 
opencnam.com kann jeder den Test 
machen und seine Telefonnummer 
eingeben. Bei vielen steht der vol- 
le Name, oder auch der Arbeitgeber. 
Über die Seite kann jeder selbst nach- 
prüfen, was rauskommt, muss hierfür 
aber ein Konto einrichten. Die Frage 
ist, woher Opencnam diese Informa- 
tionen, die an die Telefonnummer ge- 
koppelt sind, bezieht. Opencnam ant- 
wortete auf Nachfrage, sie kämen aus 
„non-traditionel sources“. Der Vorsit- 
zender der Deutschen Vereinigung für 
Datenschutz, Frank Spaeing, vermutet, 
dass die Daten von Apps stammen, die 
sich vorher von dem Nutzenden wis- 
sentlich oder unwissentlich Zugang 
zum Telefonbuch haben gewähren las- 
sen. Wenn da also ein Name steht und 
so etwas wie „Hanna, Freundin von 
Klaus“, dann kann daraus geschlossen 
werden, dass jemand Hanna so in sei- 
nem Adressbuch auf dem Smartphone 
abgespeichert hat, sich irgendwann 
mal eine (vermutlich) kostenlose App 
runtergeladen hat und diese App die 
Daten dann weiterverkauft hat, zum 
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Beispiel an Opencnam, das sie wiede- 
rum weiter verkauft. 

Dass auf die Daten aus dem Smart- 
phone zugegriffen wird, steht meist 
in den AGB, genauso wie, dass diese 
Daten an Dritte weiter gegeben wer- 
den dürfen. Die meisten stimmen un- 
wissend zu, weil sie die AGB nicht 
gelesen haben. Man kann natürlich zur 
zuständigen Datenschutzbehörde ge- 
hen, viel macht die aber selten, wenn 
wie hier das Unternehmen seinen Sitz 
in den USA hat. Dessen ungeachtet 
wäre es möglich, über die Europäische 
Kommission insofern Druck auszu- 
üben (Opencnam weiß, wie du heißt, 
dradiowissen.de 01.02.2017). 


USA 


Klage gegen Bose wegen 
Kopfhörerspionage 


Der Edelradiohersteller Bose soll ei- 
ner Klage zufolge mit Apps für seine 
Funkkopfhörer die Privatsphäre seiner 
Kundinnen verletzt haben. In der Kla- 
geschrift, die am 18.04.2017 bei einem 
Bundesgericht in Chicago eingereicht 
wurde, heißt es, das Unternehmen aus 
dem US-Bundesstaat Massachusetts 
missachte den Datenschutz bei seiner 
Software. Geplant ist demnach eine 
Sammelklage. In der Klage geht es 
um eine kostenlose Software namens 
Bose Connect, die sich die KundInnen 
kostenlos auf ihr iPhone oder Android- 
Smartphone laden können. Darüber 
sammele das Unternehmen Daten über 
Musik, Podcasts und andere Dateien, 
die sich die KundInnen anhörten, und 
leite diese Informationen an andere Fir- 
men weiter. Der Kläger Kyle Zak hatte 
sich nach eigenen Angaben einen Bo- 
se-Kopfhörer für 350 Dollar gekauft. 
Er beantragte, dass Bose Käufern der 
entsprechenden Geräte Schadenersatz 
in Millionenhöhe leistet (Spionage über 
Kopfhörer, SZ 21.04.2017, 19) 


# 
IPEREREFZEID 


f n 


DANA » Datenschutz Nachrichten 2/2017 


7890908072D 
4 


107 


USA/Kanada 


Sammelklage gegen 
Vibratoren-App bringt 
5 Millionen kanadische 
Dollar 


Die kanadische Firma „Standard In- 
novation“ hat gegen Zahlung von 5 Mil- 
lionen kanadische Dollar einen Rechts- 
streit in den USA um die Sammlung 
höchst intimer Daten durch seine Reihe 
smarter Vibratoren namens We-Vibe 
beigelegt (vgl. DANA 4/2016, 198). Die 
zum Steuern der Sexspielzeuge nötige 
We-Connect-App schickte der Sammel- 
klage zufolge heimlich Nutzungsdaten 
an den Hersteller — darunter auch, wie 
oft und wann das Gerät verwendet wur- 
de, die Intensität der Vibration sowie die 
eingestellte Temperatur. 

Teilweise laufen die über Bluetooth 
mit dem Smartphone verbundenen 
Produkte ausschließlich mit dieser An- 
wendung; diese sorgt zudem für einen 
erheblichen Teil des Funktionsumfangs. 
Das Programm erlaubt unter anderem 
die Steuerung der Vibrationsmuster und 
-stärke. Die App eignet sich auch zu 
Steuerung des verbundenen Geräts aus 
der Ferne über das Internet. Nutzende 
können sich über Video- und Textchat 
mit der PartnerIn austauschen. Alles 
läuft über die Server der Herstellerfir- 
ma. Viele Funktionen verlangten eine 
Registrierung mit einer Mail-Adresse. 
Der Hersteller bestritt das Sammeln von 
Daten nicht, betonte jedoch zur Klageer- 
öffnung, dass die Daten grundsätzlich 
nicht personenbezogen seien und sicher 
vor fremden Zugriffen gespeichert wür- 
den. Es habe bisher keine erfolgreichen 
Angriffe auf die Daten gegeben. 

Die beiden Kläger, die zum Schutz der 
Privatsphäre als NP und PS vor Gericht 
erschienen, vertraten dagegen die Mei- 
nung, dass die gesammelten Daten sehr 
wohl zugeordnet werden können. Das 
Sammeln verstoße untere anderem ge- 
gen mehrere Gesetze im US-Bundesstaat 
Illinois und gegen ein Überwachungsge- 
setz auf Bundesebene. Zudem hätten die 
Käufer vor dem Kauf nicht wissen kön- 
nen, dass für die Verwendung des Geräts 
das Sammeln und Überwachen dieser 
Daten notwendig sei. Standard Innova- 
tion rechtfertigte zu Beginn des Verfah- 
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rens die Datensammlung unter anderem 
mit seiner Marktforschung: Wenn die 
Nutzer das Gerät überwiegend auf der 
höchsten Stufe nutzen würden, könnte 
das Gerät allgemein zu schwach zu sein. 

Betroffene Kunden in den USA müs- 
sen gemäß der Vereinbarung zur Kla- 
gebeilegung zwischen zwei Arten der 
Entschädigung wählen: Wer die App 
zum Steuern der Geräte benutzt hat 
und Name, Mail-Adresse und Telefon- 
nummer angibt, hat Anspruch auf bis 
zu 10.000 US-Dollar. Die genaue Höhe 
berechnet sich nach der Zahl der be- 
troffenen Kunden. Knapp 3 Millionen 
US-Dollar (oder 4 Millionen kanadische 
Dollar) hat die Firma dazu beiseite zu 
legen. Wer das Gerät nur gekauft hat, er- 
hält bis zu 199 US-Dollar zurück, wofür 
1 Million kanadische Dollar zur Verfü- 
gung stehen. 

Standard Innovation zeigte sich über 
die Beilegung der Sammelklage erleich- 
tert und verwies auf seine verbesserte 
App: So kläre man deutlicher über die 
Datensammlung auf, die Sicherheit der 
App sei erhöht wurden und der Nutzer 
habe mehr Möglichkeit zum Steuern der 
Datenübertragung. Seit Oktober müssen 
Nutzer kein Konto mehr anlegen und 
können das Teilen der Daten abstellen. 
Zudem „arbeitete man mit führenden 
Experten für Sicherheit und Daten- 
schutz weiter an der Verbesserung der 
App“ (Spier, Smarte Vibratoren zu neu- 
gierig: We-Vibe zahlt Millionen-Ent- 
schädigung, www.heise.de 11.03.2017). 


China 


Gesichtsscanner kontrol- 
lieren Klopapiernutzung 
auf Toiletten 


In Rahmen von Chinas Bürgerzivili- 
sierungskampagne wird inzwischen ver- 
sucht, den Diebstahl von kostenlosem 
Toilettenpapier mit Gesichtsscanner zu 
bekämpfen. Seit 2007, ein Jahr vor den 
Olympischen Spielen in Peking, war auf 
einigen Toiletten in China die uralte Re- 
gel außer Kraft gesetzt worden, wonach 
jeder Pekinger und jeder Tourist stets 
sein eigenes Papier am Leibe zu tragen 
hatte. In manchen Toiletten wurden Pa- 
pier-Rollen in Griffweite bereitgestellt 
als „Willkommen an die Olympiagäs- 


te“. Dies verstanden einige Chinesen 
als Einladung zum Abstauben, wie 
eine Schlagzeile der Pekinger „Global 
Times‘ im Jahr 2012 zeigte: „Kein Ende 
in Sicht beim Problem der Toilettenpa- 
pierdiebe“. Jetzt teilte die Volkszeitung 
mit: „Noch immer mangelt es einigen 
Leuten an Papierbenutzungsmanieren.“ 
Sie klauen das Papier und nehmen es mit 
nach Hause. Deshalb ist von den 12.000 
öffentlichen Toiletten der Stadt nur jede 
vierte mit Papier bestückt. Einige der 
Toiletten im Pekinger Himmelspark 
waren im Zuge der seit vielen Jahren 
laufenden „Toilettenrevolution“ (so die 
offizielle Bezeichnung durch die Stadt- 
regierung) zu „Vier-Sterne-Toiletten“ 
ausgebaut worden. 

Anfang März 2017 hatten sich in einer 
von ihnen Reporter der Pekinger Abend- 
zeitung mit versteckter Kamera auf die 
Lauer gelegt. Sie beobachteten Leute, 
die in aller Seelenruhe bis zu zehn Me- 
ter Klopapier abrollten. Manche standen 
dafür Schlange und hatten Taschen mit- 
gebracht, in die sie die Beute einpackten. 
Eine Frau kam innerhalb einer halben 
Stunde gleich drei Mal. Wenn man der 
Lokalpresse glauben darf, waren es al- 
les Pensionäre aus der Umgebung, eine 
Rentnergang, die öffentliches Eigentum 
„kollektivierte‘“, so einige Zeitungen. 

Es folgte ein öffentliches Moralisie- 
ren über die „nationale Tragödie“ (so ein 
Nutzer im Kurznachrichtendienst Wei- 
bo), also den fehlenden Gemeinsinn. Eine 
neue Kampagne der Stadtverwaltung 
erklärte die Park-Toilette zum „sichtba- 
ren Zeugnis des Standes der Aufbau der 
geistigen Zivilisation“ und schlug als Pa- 
role für den bevorstehenden Kampf das 
Motto vor: „Zivilisierte Toilettennutzung 
fängt bei mir an, fängt sofort an, fängt bei 
einem Blatt Papier an“. 

Der Parteisekretär der Himmelstem- 
pelparkverwaltung, Dong Yali, gab eine 
Pressekonferenz, in der er die Fluchtira- 
den und sogar Prügel beschrieb, mit der 
jene Mitarbeiter zu rechnen hätten, die 
versuchten, sich den Abrollern in den Weg 
zu stellen. Er kündigte an, man werde die 
Angestellten in Deeskalation schulen, zu- 
dem sollten neue Schilder und Freiwillige 
den Besuchern nahebringen, „wie man zi- 
vilisiert Toilettenpapier benützt“. 

Herr Dong verriet damals nicht, dass 
zudem der Große Bruder übers korrek- 
te Geschäft wachen sollte. Die auto- 
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matischen Toilettenpapierspender im 
Vorraum von insgesamt sechs Muster- 
toiletten sind seit dem 18.03.2017 für 
zwei Wochen auf Probe mit Gesichts- 
Scannern gekoppelt. Wer Klopapier 
ziehen will, der muss vor eine Kamera 
treten und sein Gesicht einlesen lassen, 
dann erhält er genau 60 Zentimeter zu- 
geteilt und ist für die nächsten neun Mi- 
nuten gesperrt. In der Praxis versagten 
einige der Apparate gleich am ersten 
Tag. Andere brauchten nicht „ein paar 
Sekunden“ wie versprochen für die Ge- 
sichtserkennung, sondern mehr als eine 
Minute, was, wie eine Zeitung feststell- 
te, „manchen, den es drängt, zusätzlich 
frustrieren kann“. Die Angestellten, die 
als Helfer neben den neuen Apparaten 
postiert waren, hatten viel zu tun. Ob die 
Aktion am Ende erfolgreich ist, bezwei- 
felten viele Internetnutzer in einer ange- 
regten öffentlichen Diskussion in sozia- 
len Medien. Das langfristige Schicksal 
der Gesichtsscanner ist noch unklar. 
Ein Vertreter der Parkverwaltung ver- 
sprach aber der Presse, dass das kosten- 
lose Klopapier nicht abgeschafft wird: 
„Das ist eine Sache der Menschlichkeit“ 
(Strittmatter, SZ 21.03.2017, 8). 


China 


Jack Ma investiert in 
Gentests 


Der Gründer des Onlinehändlers Ali- 
baba und zugleich reichster Chinese 
Jack Ma investiert viele Millionen in die 
Genanalysefirma Wuxi Nextcode und 
damit im boomenden Markt der Erbgut- 
entschlüsselung. Das Unternehmen ist 
aus dem deCode-Projekt in Island ent- 
standen, in dem die Erbinformationen 
von 140.000 Freiwilligen erfasst und auf 
Krankheitsmarker hin untersucht wor- 
den waren. Die Pharmaforschung hofft, 
mithilfe solcher Datensätze innovative 
Medikamente entwickeln zu können. 
Zudem entwickelt sich ein Markt für 
Gentests, die sich direkt an Konsumen- 
tInnen richten. Wuxi Nextcode werden 
große Chancen auf dem Endverbrau- 
chermarkt zugeschrieben, u. a. weiles in 
China in diesem Bereich keine bzw. nur 
eine lasche rechtliche Regulierung gibt 
(Alibaba-Gründer setzt auf Gentests, 
Der Spiegel 19/20017, 57) 
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aT-Teisiejolg-Teialölgte 


EuGH 


Bei Gesellschaftsregistern nur einge- 
schränktes Recht auf Vergessenwerden. 

Mit Beschluss vom 09.03.2017 urteil- 
te der Europäische Gerichtshof (EuGH), 
dass es kein „Recht auf Vergessenwer- 
den“ für die im Gesellschaftsregister 
eingetragene personenbezogenen Daten 
gibt (C-398/15). Die Mitgliedstaaten 
können aber nach Ablauf einer hinrei- 
chend langen Frist nach der Auflösung 
der betreffenden Gesellschaft in Aus- 
nahmefällen eine Beschränkung des Zu- 
gangs Dritter zu diesen Daten vorsehen. 
Geklagt hatte 2007 der Geschäftsführer 
einer Gesellschaft gegen die Handels- 
kammer Lecce, die einen öffentlichen 
Auftrag für die Errichtung einer Ferien- 
anlage in Italien erhalten hatte. Er war 
der Auffassung, dass sich die Immobi- 
lien der Anlage deshalb nicht veräußern 
ließen, weil sich aus dem Gesellschafts- 
register ergebe, dass er Geschäftsführer 
einer anderen Gesellschaft gewesen sei, 
die 1992 insolvent geworden und 2005 
liquidiert worden sei. 

Das erstinstanzliches Gericht in Ita- 
lien gab der Handelskammer Lecce 
auf, die personenbezogenen Daten zu 
anonymisieren, die den Kläger mit der 
Insolvenz der früheren Gesellschaft in 
Verbindung bringen, und verurteilte die 
Handelskammer zum Ersatz des dem 
Kläger daraus entstandenen Schadens. 
Der von der Handelskammer Lecce an- 
gerufene Kassationsgerichtshof hat dem 
EuGH mehrere Fragen zur Vorabent- 
scheidung vorgelegt. Er wollte wissen, 
ob es die Richtlinie 95/46/EG zum 
Schutz der Daten natürlicher Personen 
und die Richtlinie 68/15 1/EWG über die 
Offenlegung von Gesellschaftsurkunden 
verbieten, dass jede Person ohne zeitli- 
che Beschränkung Zugang zu natürliche 
Personen betreffenden Daten im Gesell- 
schaftsregister haben kann. 

Der EuGH wies darauf hin, dass die 
Offenlegung von Gesellschaftsregistern 
die Rechtssicherheit in den Beziehungen 
zwischen den Gesellschaften und Drit- 
ten sicherstellen soll und u.a. dazu dient, 


die Interessen Dritter gegenüber Aktien- 
gesellschaften und Gesellschaften mit 
beschränkter Haftung zu schützen, da 
diese zum Schutz Dritter lediglich ihr 
Gesellschaftsvermögen zur Verfügung 
stellen. Außerdem können sich auch 
noch mehrere Jahre nach Auflösung ei- 
ner Gesellschaft Fragen ergeben, die 
einen Rückgriff auf im Gesellschaftsre- 
gister eingetragene personenbezogene 
Daten erfordern. In Anbetracht der Viel- 
zahl der Rechte und Rechtsbeziehungen, 
die eine Gesellschaft (auch nach ihrer 
Auflösung) mit Akteuren in mehreren 
Mitgliedstaaten verbinden können, und 
der Unterschiede in den Verjährungsfris- 
ten der verschiedenen nationalen Rechte 
sei es nicht möglich, eine einheitliche 
Frist festzulegen, nach deren Ablauf die 
Eintragung der Daten im Register und 
ihre Offenlegung nicht mehr notwendig 
wären. 

Unter diesen Umständen können die 
Mitgliedstaaten natürlichen Personen, 
deren Daten im Gesellschaftsregister 
eingetragen sind, nicht das Recht ga- 
rantieren, nach einer bestimmten Frist 
nach Auflösung der Gesellschaft die 
Löschung der sie betreffenden perso- 
nenbezogenen Daten verlangen zu kön- 
nen. Dieser Eingriff in die Grundrechte 
der betroffenen Personen (Achtung des 
Privatlebens und Schutz personenbezo- 
gener Daten) sei nicht unverhältnismä- 
Big, da erstens nur eine begrenzte Zahl 
an personenbezogenen Daten im Ge- 
sellschaftsregister eingetragen wird und 
es zweitens gerechtfertigt ist, dass die 
natürlichen Personen, die sich dafür ent- 
scheiden, über eine Aktiengesellschaft 
oder eine Gesellschaft mit beschränkter 
Haftung am Wirtschaftsleben teilzuneh- 
men, und die zum Schutz Dritter ledig- 
lich das Vermögen dieser Gesellschaft 
zur Verfügung stellen, verpflichtet sind, 
die Daten zu ihren Personalien und Auf- 
gaben innerhalb der Gesellschaft offen- 
zulegen. 

Allerdings sei es nicht auszuschlie- 
Ben, dass in besonderen Situationen 
überwiegende, schutzwürdige, sich aus 


109 


dem konkreten Fall der Person ergeben- 
de Gründe ausnahmsweise rechtfertigen 
können, den Zugang zu den sie betref- 
fenden personenbezogenen Daten nach 
Ablauf einer hinreichend langen Frist 
nach der Auflösung der Gesellschaft auf 
Dritte zu beschränken, die ein beson- 
deres Interesse an der Einsichtnahme 
in die Daten nachweisen. Eine solche 
Zugangsbeschränkung zu personenbe- 
zogenen Daten müsse das Ergebnis ei- 
ner Einzelfallprüfung sein. Es sei Sache 
jedes Mitgliedstaats, zu entscheiden, ob 
er eine solche Zugangsbeschränkung in 
seiner Rechtsordnung wünscht. Vorlie- 
gend kann der Umstand allein, dass sich 
die Immobilien der Ferienanlage nicht 
veräußern lassen, weil die potenziellen 
KäuferInnen Zugang zu den im Ge- 
sellschaftsregister eingetragenen Daten 
über den Kläger haben, u. a. wegen des 
berechtigten Interesses dieser Käufer 
an diesen Informationen nicht für eine 
Rechtfertigung der Zugangsbeschrän- 
kung zu diesen Daten ausreichen (Kein 
Recht auf Vergessenwerden hinsichtlich 
der im Gesellschaftsregister eingetrage- 
nen personenbezogenen Daten, www. 
otto-schmidt.de 09.03.2017). 


BVerfG 


Pressefotos Prominenter 
nur im öffentlichen Raum 
zulässig 


Manchmal liegen zwischen Recht und 
Unrecht nur ein paar Meter. Das Bundes- 
verfassungsgericht (BVerfG) hat mit Be- 
schluss vom 09.02.2017 über zwei in der 
Bild-Zeitung abgedruckte Aufnahmen 
aus dem Jahr 2011 entschieden und da- 
mit die Grenze zwischen Pressefreiheit 
und Persönlichkeitsschutz sehr anschau- 
lich gemacht (1 BvR 2897/14, 1 BvR 
790/15, 1 BvR 967/15). Während seines 
Vergewaltigungsprozesses, der 2011 mit 
Freispruch endete, war der Wettermode- 
rator Jörg Kachelmann von Fotografen 
verfolgt worden; gegen viele veröffent- 
lichte Fotos ist er vor Gericht gezogen. 
Eine der Aufnahmen, veröffentlicht am 
18.05.2011, zeigt Kachelmann auf dem 
Weg zu seiner Verteidigerin, auf öf- 
fentlicher Straße, wenige Meter vor der 
Kanzlei. Land- und Oberlandesgericht 
Köln sahen darin einen erheblichen Ein- 


110 


griff in seine Privatsphäre. Das BVerfG 
hob die Entscheidung wegen Verlet- 
zung der Pressefreiheit auf. Dass das 
Foto geringen Informationswert habe, 
sei nicht entscheidend. Zudem gehöre 
es zur Freiheit der Presse, „nach publi- 
zistischen Kriterien zu entscheiden, was 
öffentliches Interesse beansprucht“. Das 
Gericht hob hervor, dass ein Prominen- 
ter, der in einen Fall von allergrößtem 
öffentlichen Interesse verwickelt war, 
nun mal keine Privatsphäre genießt, 
solange er sich im öffentlichen Raum 
bewegt. Auf dem Parkplatz im ein we- 
nig abgeschirmten Innenhof der Kanzlei 
war Kachelmann auch abgelichtet wor- 
den. Dort befinde er sich in einer „durch 
räumliche Privatheit geprägten Situa- 
tion“, befand das Gericht und wies die 
Verfassungsbeschwerde von „Bild“ ab 
(Janisch, SZ 16.03.2017, 47). 


BVerfG 


Weitere Eilanträge gegen 
Vorratsdatenspeicherung 
abgelehnt 


Das Bundesverfassungsgericht 
(BVerfG) hat erneut Eilanträge auf Er- 
lass einer einstweiligen Anordnung 
gegen das Gesetz zur Einführung ei- 
ner Speicherpflicht und einer Höchst- 
speicherfrist für Verkehrsdaten vom 
10.12.2015 mit Beschlüssen vom 
26.03.2017 abgelehnt (1 BvR 3156/15, 
1 BvR 141/16). Die Antragsteller woll- 
ten insbesondere mit Blick auf das Ur- 
teil des Gerichtshofs der Europäischen 
Union (EuGH) vom 21.12.2016 (C- 
203/15, C-698/15, DANA 1/2017, 60) 
erreichen, dass die durch dieses Gesetz 
eingeführte Vorratsspeicherung von 
Telekommunikations-Verkehrsdaten zu 
Zwecken der öffentlichen Sicherheit 
außer Kraft gesetzt wird. Nach Ansicht 
des BVerfG stellen sich auch nach der 
Entscheidung des EuGH hinsichtlich 
der verfassungsrechtlichen Bewertung 
der angegriffenen Regelungen Fragen, 
die nicht zur Klärung im Eilrechtschutz- 
verfahren geeignet seien. 

Aufgrund einer Übergangsfrist be- 
ginnt die Speicherpflicht am 01.07.2017. 
Dann müssen Internet-Firmen 10 Wo- 
chen lang speichern, wer sich wann mit 
welcher IP-Adresse im Internet einge- 


loggt hatte. Telefonfirmen müssen 10 
Wochen lang festhalten, wer wann mit 
wem telefoniert oder gesimst hat. Die 
Standortdaten bei der Mobilkommuni- 
kation müssen 4 Wochen lang gespei- 
chert werden. Am 08.06.2016 hatte das 
BVerfG erstmals Eilanträge gegen die 
Wiedereinführung der Vorratsdaten- 
speicherung abgelehnt (DANA 3/2016, 
153 f.). Zwar könne die anlasslose Da- 
tenspeicherung einen „erheblichen Ein- 
schüchterungseffekt“ bewirken, weil 
das Gefühl entstehe, „ständig überwacht 
zu werden“. In einer Folgenabschätzung 
sprach sich das Gericht aber gegen den 
vorläufigen Stopp des Gesetzes aus. 
Neuer Schwung kam in die Debat- 
te durch die Feststellung des EuGH im 
Dezember 2016, dass die Vorratsspei- 
cherung in Großbritannien und Schwe- 
den nicht mit EU-Recht vereinbar ist. 
Der EuGH verlangte einen zumindest 
mittelbaren Zusammenhang der gespei- 
cherten Personen mit schweren Strafta- 
ten oder deren Verhütung. Die Gegner 
der Vorratsdatenspeicherung schöpften 
Hoffnung und reichten zwei Eilanträge 
ein. Der eine stammte von 22 Berliner 
Anwälten, Journalisten und Abgeordne- 
ten; der andere wurde vom SPD-nahen 
Verein für digitalen Fortschritt D64 ein- 
gereicht. Beide Anträge wurden nun von 
einer Kammer des BVerfG abgewiesen. 
Anhängig bleibt ein Versucht des Mün- 
chener Providers SpaceNet AG, der 
verhindern will, dass er für 40.000 € 
neue Speicher-Hardware anschaffen 
muss. Der deshalb gestellte Eilantrag 
wurde Ende Januar 2017 vom Verwal- 
tungsgericht Köln abgelehnt, wogegen 
SpaceNet beim Oberverwaltungsge- 
richt Münster Rechtsmittel eingelegt hat 
(Rath, Vorratsdatenspeicherung kann 
starten, Kieler Nachrichten 15.04.2017, 
4; BVerfG, PE Nr. 28/2017 v. 25.03.2017, 
Weitere Eilanträge in Sachen „Vorratsda- 
tenspeicherung“ erfolglos). 


BGH 


IP-Adressenspeicherung 
für Sicherheitszwecke 
zulässig 

Der Bundesgerichtshof (BGH) in 


Karlsruhe entschied mit Urteil vom 
16.05.2017, dass bedrohte Webseiten 


DANA » Datenschutz Nachrichten 2/2017 


Surfprotokolle ihrer Nutzenden zur 
Abwehr von Sicherheitsrisiken anlegen 
dürfen (Az. VIZR 135/13). Der Kläger, 
der bisherige Abgeordnete der Piraten 
im Schleswig-Holsteinischen Landtag 
Patrick Breyer (die Piraten schafften es 
bei der Wahl am 07.05.2015 nicht wie- 
der in den Landtag), verlangte vor ca. 10 
Jahren von der beklagten Bundesrepu- 
blik Deutschland die Unterlassung der 
Speicherung von dynamischen IP-Ad- 
ressen. Diese Ziffernfolgen werden bei 
jeder Einwahl ins Internet dem jeweili- 
gen Rechner zugewiesen, um diesem die 
Kommunikation zu ermöglichen. Bei 
einer Vielzahl allgemein zugänglicher 
Internetportale des Bundes werden alle 
Zugriffe in Protokolldateien festgehal- 
ten mit dem Ziel, Angriffe abzuwehren 
und die strafrechtliche Verfolgung von 
Angreifern zu ermöglichen. Dabei wer- 
den unter anderem der Name der abge- 
rufenen Seite, der Zeitpunkt des Abrufs 
und die IP-Adresse des zugreifenden 
Rechners über das Ende des jeweiligen 
Nutzungsvorgangs hinaus gespeichert. 

Breyer forderte vom Bund es zu un- 
terlassen, ihm zugewiesene IP-Adressen 
über das Ende des jeweiligen Nutzungs- 
vorgangs hinaus zu speichern. Das 
Amtsgericht hatte die Klage abgewie- 
sen; auf die Berufung des Klägers hin 
hatte dann das Landgericht (LG) dem 
Kläger den Unterlassungsanspruch in- 
soweit zuerkannt, als er Speicherungen 
von IP-Adressen in Verbindung mit dem 
Zeitpunkt des jeweiligen Nutzungsvor- 
gangs betrifft und der Nutzer während 
des Nutzungsvorgangs seine Persona- 
lien angibt. Gegen dieses Urteil hatten 
beide Parteien die vom LG zugelassene 
Revision eingelegt. 

Der BGH setzte darauf mit Beschluss 
vom 28.10.2014 das Verfahren aus und 
legte dem Europäischen Gerichtshof 
(EuGH) zwei Fragen zur Auslegung der 
EG-Datenschutz-Richtlinie (Richtlinie 
95/46 EG — EG-DSRI) zur Vorabent- 
scheidung vor. Nachdem der EuGH die 
Fragen mit Urteil vom 19.10.2016 (C- 
582/14) beantwortet hatte, hob der BGH 
nunmehr im Rahmen der Revisionen das 
Berufungsurteil auf und verwies die Sa- 
che an das Berufungsgericht zurück. 

Auf der Grundlage des EuGH-Urteils 
bestätigte der BGH, dass das Tatbe- 
standsmerkmal „personenbezogenes 
Datum“ des $ 12 Abs. 1 und 2 TMG in 
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Verbindung mit $ 3 Abs. 1 BDSG richtli- 
nienkonform so auszulegen ist, dass dar- 
unter auch eine dynamische IP-Adresse 
fällt, die von einem Anbieter von On- 
line-Mediendiensten beim Zugriff einer 
Person auf eine Internetseite, die dieser 
Anbieter allgemein zugänglich macht, 
gespeichert wird. Als solches darf die 
IP-Adresse nur unter den Voraussetzun- 
gen des $ 15 Abs. 1 TMG gespeichert 
werden. Diese Vorschrift ist, so folgt der 
BGH dem EuGH, entsprechend Art. 7 
lit. f EG-DSRl dahingehend auszulegen, 
dass ein Anbieter von Online-Medien- 
diensten personenbezogene Daten ei- 
nes Nutzers dieser Dienste ohne dessen 
Einwilligung auch über das Ende eines 
Nutzungsvorgangs hinaus verarbeiten 
darf, soweit dies erforderlich ist, um die 
generelle Funktionsfähigkeit der Diens- 
te zu gewährleisten. Dabei sei allerdings 
einer Abwägung mit dem Interesse und 
den Grundrechten und -freiheiten der 
Nutzenden vorzunehmen. 

Diese Abwägung konnte vom BGH 
im Streitfall auf der Grundlage der vom 
Berufungsgericht getroffenen Feststel- 
lungen nicht abschließend vorgenom- 
men werden. Das Berufungsgericht hat- 
te keine hinreichenden Feststellungen 
dazu getroffen, ob die Speicherung der 
IP-Adressen des Klägers über das Ende 
eines Nutzungsvorgangs hinaus erfor- 
derlich ist, um die (generelle) Funkti- 
onsfähigkeit der jeweils in Anspruch 
genommenen Dienste zu gewährleisten. 
Der beklagte Bund verzichtet nach ei- 
genen Angaben bei einer Vielzahl der 
von ihm betriebenen Portale mangels 
eines „Angriffsdrucks“ darauf, die je- 
weiligen IP-Adressen der Nutzenden 
zu speichern. Es fehlte insbesondere an 
Feststellungen dazu, wie hoch das Ge- 
fahrenpotential bei den übrigen Online- 
Mediendiensten des Bundes ist, wel- 
che Breyer nutzen möchte. Erst wenn 
entsprechende Feststellungen hierzu 
getroffen sind, kann das LG als Beru- 
fungsgericht die nach dem Urteil des 
EuGH gebotene Abwägung zwischen 
dem Interesse der Beklagten an der Auf- 
rechterhaltung der Funktionsfähigkeit 
ihrer Online-Mediendienste und dem In- 
teresse oder den Grundrechten und -frei- 
heiten des Klägers vornehmen haben. 
Dabei sind, so der BGH, Gesichtspunkte 
der Generalprävention und der Strafver- 
folgung gebührend zu berücksichtigen. 


Das Urteil hat über die betroffenen 
Regierungsportale hinausgehende Be- 
deutung auch für viele Unternehmen, die 
Nutzungsdaten aus Sicherheitsgründen 
speichern. Breyer sieht weiterhin keinen 
Sicherheitsgewinn in einer Speicherung: 
„Ein effektiver Schutz vor Angriffen ist 
alleine durch technische Absicherung 
der Systeme möglich“. Deshalb sei es 
unverhältnismäßig, die Anonymität im 
Netz aufzuheben. Der Branchenverband 
Bitkom hält demgegenüber die Spei- 
cherung für nützlich, so das Mitglied 
der Geschäftsführung Susanne Dehmel: 
„Einen anderen Anhaltspunkt als die IP- 
Adresse hat man oft nicht.“ Die Daten 
ließen sich aber ohnehin nur für einen 
begrenzten Zeitraum beim Provider ab- 
rufen (Bundesgerichtshof zur Zulässig- 
keit der Speicherung von dynamischen 
IP-Adressen, BGH PE Nr. 74/2017 v. 
16.05.2017; Janisch, Alles für die Si- 
cherheit, SZ 17.05.2017, 17). 


LAG Berlin-Brandenburg 


Fristlose Kündigung we- 
gen Datenschutzverstoß 


Mit Urteil vom 01.09.2016 bestätigte 
das Landesarbeitsgericht (LAG) Berlin- 
Brandenburg einen vermehrt erkennbaren 
Trend der Rechtsprechung, Datenschutz- 
verstöße nicht mehr als Kavaliersdelikte, 
sondern als schwere Pflichtverletzung 
anzusehen, die eine fristlose Kündigung 
rechtfertigt (10 Sa 192/16). Eine Mitar- 
beiterin eines Berliner Meldeamtes hatte 
mehrere hundert Melderegisterabfragen 
zu Personen aus ihrem näheren Bekann- 
tenkreis vorgenommen und damit gegen 
datenschutzrechtliche Anforderungen 
verstoßen. Das Amtsgericht Berlin-Tier- 
garten verurteilte sie wegen der began- 
genen Datenschutzverletzung zu einer 
Geldstrafe von 90 Tagessätzen. Das Land 
Berlin als Arbeitgeber kündigte ihr frist- 
los. Diese Kündigung wurde zwar vom 
Arbeitsgericht (ArbG) Berlin (56 Ca 
6036/15) aufgehoben mit dem Verweis, 
die Klägerin habe ohne kriminelle Ener- 
gie gehandelt. Diese hatte vorgetragen, 
ihr sei der Datenschutzverstoß nicht be- 
wusst gewesen; sie habe aus reiner Neu- 
gier gehandelt. 

Das LAG hob die Entscheidung des 
ArbG auf und bestätigte die Kündigung. 
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Die Mitarbeiterin habe ihre vertragli- 
chen Pflichten verletzt. Für eine solche 
Kündigung aus einem wichtigen Grund 
gemäß $ 626 Abs. 1 Bürgerliches Ge- 
setzbuch (BGB) kommt es auf einen 
Verstoß gegen die vertraglichen Haupt- 
oder Nebenpflichten und den damit ver- 
bundenen Vertrauensbruch an. Der von 
der Klägerin begangene Verstoß gegen 
datenschutz- und melderechtliche Vor- 
schriften rechtfertige die fristlose Kün- 
digung. Daran könne auch die langjäh- 
rige beanstandungslose Beschäftigung 
beim Land nichts ändern. Den bei der 
Meldebehörde beschäftigten Personen 
ist es gesetzlich untersagt, die ihnen 
für die Erfüllung ihrer Aufgaben zur 
Verfügung gestellten Meldedaten unbe- 
fugt zu einem anderen Zweck als dem 
der rechtmäßigen Aufgabenerfüllung 
zu verarbeiten. Die Klägerin hatte die 
Persönlichkeitsrechte der Personen, de- 
ren Daten sie unbefugt abgerufen hat, 
und das Datengeheimnis, auf das sie 
verpflichtet war, verletzt (Wybitul, Sind 
Verstöße gegen den Datenschutz Kava- 
liersdelikte? www.faz.net 09.02.2017; 
Wurzberger CuA 3/2017, 23). 


LG Köln 


Rekordschadenersatz für 
Kohl wegen Persönlich- 
keitsverletzung 


Das Landgericht (LG) Köln hat mit 
Urteilen vom 27.04.2017 dem frühe- 
ren Bundeskanzler Helmut Kohl einen 
Rekord-Schadenersatz in Höhe von 
einer Million Euro zugesprochen und 
bestätigte das Verbot von 116 Textpas- 
sagen des Bestsellers „Vermächtnis: Die 
Kohl-Protokolle“ (14 O 323/15, 14 © 
286/14, 14 O 261/16). Die Veröffentli- 
chung des Buches hat nach Auffassung 
des Gerichts das Persönlichkeitsrecht 
des 87-Jährigen schwer verletzt. In den 
beanstandeten Textpassagen ging es um 
vertrauliche Äußerungen Kohls über 
andere bekannte Politiker und Persön- 
lichkeiten des öffentlichen Lebens. Von 
den 116 im Prozess behandelten Zitaten 
waren 13 von Kohl bestritten worden. 

In dem Zivilverfahren hatte Kohl die 
Autoren Heribert Schwan und Tilman 
Jens sowie den Heyne-Verlag aus der 
Verlagsgruppe Random House auf Zah- 
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lung von fünf Millionen Euro verklagt. 
Die Verurteilung erfolgte gesamtschuld- 
nerisch auf ein Fünftel, was aber in 
Deutschland absoluter Rekord ist. Die 
bisher höchsten Summen, die nach deut- 
schem Recht für Verletzungen des Per- 
sönlichkeitsrechts durch unzulässige Ver- 
öffentlichungen zugesprochen wurden, 
bewegten sich um die 400.000 Euro, so 
im Fall des Wettermoderators Jörg Ka- 
chelmann und der Prinzessin Madeleine 
von Schweden. Im Fall Kachelmann hat- 
te das LG Köln 635.000 Euro zugespro- 
chen, was vom Oberlandesgericht Köln 
auf 395.000 reduziert wurde. 

Die beanstandeten Aussagen stammen 
aus Gesprächen, die Kohl 2001 und 2002 
mit Schwan über ca. 600 Stunden geführt 
hatte, damit der Journalist als Ghostwri- 
ter die Memoiren des Altkanzlers verfas- 
sen konnte. Schwan nahm die Gespräche 
auf Kassette auf. Bevor der vierte und 
letzte Band erscheinen konnte, zerstritten 
sich die beiden. Schwan veröffentlichte 
daraufhin eigenmächtig ein Buch mit pi- 
kanten Äußerungen Kohls aus ihren Ge- 
sprächen. Sie betrafen unter anderem die 
heutige Bundeskanzlerin Angela Mer- 
kel und die früheren Bundespräsidenten 
Christian Wulffund Richard von Weizsä- 
cker. Zitiert wurde z. B. „Schaumschlä- 
ger“, „trottelhaft katholisches Subjekt“, 
„Verräter“, „aus den Dessous herausge- 
zogen“ oder „Er ist natürlich einer der 
Dreckigsten“. Das Buch wurde 2014 ein 
Bestseller und brachte es auf 200.000 
verkaufte Exemplare. Kohl klagte jedoch 
dagegen und erreichte, dass es in der vor- 
liegenden Form nicht mehr ausgeliefert 
werden durfte. Kohl hatte vorgebracht, 
seine Äußerungen seien strikt vertraulich 
gewesen. Schwan dagegen hatte immer 
erklärt, wenn Kohl etwas wirklich Ver- 
trauliches gesagt habe, habe er ihn jedes 
Mal aufgefordert, den Kassettenrekorder 
auszustellen. Nach Überzeugung des Ge- 
richts durfte nur Kohl selbst entscheiden, 
welche seiner Aussagen veröffentlicht 
werden sollten und welche nicht. Schwan 
habe mit dem Buch seine Verschwiegen- 
heitspflicht und seine Pflicht zur Geheim- 
haltung verletzt. Die Höhe des Schaden- 
ersatzes begründete das Gericht mit eines 
„besonderen Schwere“ des Eingriffs in 
das Persönlichkeitsrecht. Der vorsitzen- 
de Richter Martin Koepsel erklärte, Kohl 
habe ein Recht auf Genugtuung. Dies 
wiege schwerer als das öffentliche Inte- 


resse. Zwar solle die Presse mit der Ent- 
scheidung nicht eingeschüchtert werden, 
doch müsse hier „eine spürbare Konse- 
quenz“ folgen. 

Die Schadenersatz-Entscheidung ist 
das Herzstück einer Reihe von Klagen, 
die alle mit der unerlaubten Veröffent- 
lichung der Kohl-Zitate in Zusammen- 
hang stehen. In einem separaten Ver- 
fahren hatte Kohl bereits 2015 die He- 
rausgabe der Tonbänder erstritten, auf 
denen seine Gespräche mit Schwan auf- 
gezeichnet waren. Mit Teilurteil wurde 
jetzt Schwan verpflichtet, Auskunft über 
Art, Umfang und Verbleib etwaiger Ko- 
pien dieser Tonbänder zu geben (14 O 
286/14). Auf Grundlage dieser Auskunft 
wird Kohl sodann nach Auffassung der 
Kammer auch Herausgabe der Kopien 
fordern können. In einem weiteren Ver- 
fahren hatte Kohl zunächst per einst- 
weilige Verfügung die Schwärzung der 
Zitate durchgesetzt, die nun im Haupt- 
sacheverfahren bestätigt wurde (Urt. v. 
27.04.2017, Az. 14 O 261/16). 

Die Urteile sind noch nicht rechts- 
kräftig. Die Anwälte der Autoren He- 
ribert Schwan und Tilman Jens so- 
wie des Verlags hatten schon vorher 
angekündigt, Rechtsmittel gegen die 
Entscheidung einzulegen, falls Kohls 
Klage stattgegeben werden sollte. Klä- 
geranwalt Roger Mann sprach bzgl. 
der zugestandenen Forderung von ei- 
ner „obszönen Summe, die man nicht 
ansatzweise nachvollziehen kann“ (LG 
Köln, Rekordentschädigung — Klagen 
wegen Veröffentlichungen aus den sog. 
„Kohl-Tonbändern“ in weiten Teilen 
erfolgreich, PM 27.04.2017; Altkanz- 
ler Kohl erhält Millionenentschädi- 
gung von Ex-Biograf Schwan, www. 
zeit.de 27.04.2017; Rekord-Schmer- 
zensgeld für Helmut Kohl, www.lro. 
de 27.04.2017; Esslinger, Dafür soll er 
zahlen, SZ 28.04.2017, 5). 


LG Würzburg 


Facebook muss strafbare 
Fake-News nicht eigen- 
ständig löschen 


Das Landgericht (LG) Würzburg wies 
am 07.03.2017 per Beschluss den Antrag 
des durch ein Selfie mit Bundeskanzlerin 
Angela Merkel (CDU) bekannt gewor- 
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denen syrischen Flüchtlings Anas Mo- 
damani auf Erlass einer einstweiligen 
Verfügung zurück, Facebook zu ver- 
pflichten, aktiv nach verleumderischen 
Fake-News zu suchen. Modamani woll- 
te per einstweilige Verfügung Facebook 
zur Löschung der Falschmeldungen über 
ihn zwingen. Er hatte im September 2015 
ein Selfie mit Kanzlerin Merkel gemacht, 
was wiederum auf einem Foto festge- 
halten ist. Dieses Bild wurde später für 
bei Facebook verbreitete Fotomontagen 
genutzt, in denen er mit Anschlägen und 
Verbrechen in Verbindung gebracht wur- 
de. In einer dieser Montagen wurde er 
z.B. fälschlicherweise als mutmaßlicher 
Täter nach einem Brandanschlag auf ei- 
nen Obdachlosen in Berlin dargestellt. 
Das Landgericht stellte nicht infrage, 
dass es sich bei den auf Facebook ver- 
breiteten Meldungen um Verleumdungen 
handelte. Facebook sei aber „weder Tä- 
ter noch Teilnehmer“, habe selbst weder 
etwas „behauptet“ noch „verbreitet“ und 
mache sich die Inhalte auch nicht zu ei- 
gen. Der vorsitzende Richter Volkmar 
Seipel meinte zur Begründung: „Es blei- 
ben somit fremde Inhalte der Nutzer des 
Portals“. Das aber sei Voraussetzung für 
eine einstweilige Verfügung. Die Richter 
setzten sich mit der Frage auseinander, ob 
Facebook möglicherweise aktiv nach sol- 
chen verleumderischen Falschmeldun- 
gen suchen muss. Bei einer „schweren 
Persönlichkeitsverletzung“ erscheine ein 
„erhöhter Suchaufwand“ grundsätzlich 
gerechtfertigt. Der Bundesgerichtshof 
(BGH) habe eine solche Verpflichtung 
aber nur dann bejaht, „wenn diese tech- 
nisch ohne zu großen Aufwand realisier- 
bar und damit zumutbar ist“. Das Gericht 
sah sich nicht in der Lage, darauf in ei- 
nem Eilverfahren eine Antwort zu finden. 
Diese Frage werde gegebenenfalls in ei- 
nem Hauptsacheverfahren durch Gutach- 
ten zu klären sein. Die Richter sahen es 
für den Syrer als zumutbar an, eine Ent- 
scheidung in einem solchen Verfahren 
abzuwarten. Die strittigen Inhalte hätten 
bereits „weltweite Verbreitung“ gefun- 
den. Die Persönlichkeitsverletzung habe 
sich bereits ereignet und werde bis zu 
einem Hauptsacheverfahren nicht mehr 
gravierender werden. Es sei daher nicht 
erkennbar, dass weiterer Schaden drohe. 
Seipel deutete an, dass Modamani in 
einem Hauptsacheverfahren zumindest 
teilweise Erfolg haben könne. Es sei un- 
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streitig, dass es sich bei den Bildern und 
Collagen um strafbare Falschbehauptun- 
gen handle. Er äußerte Zweifel an der 
Argumentation der Facebook-Anwälte, 
dass Anas Modamis oder andere Ver- 
leumdungsopfer verpflichtet seien, jede 
einzelne Fundstelle der Bilder zu mel- 
den, bevor Facebook diese entfernen 
können. Es sei grundsätzlich denkbar, 
dass im Fall einer schweren Persönlich- 
keitsverletzung ein Portalanbieter von 
sich aus tätig werden müsse. Modamanis 
Würzburger Anwalt Chan-jo Jun woll- 
te erreichen, dass Facebook selbständig 
nach den verleumderischen Bildern sucht 
und diese automatisch löscht oder gar das 
Hochladen verhindert. Seipel hielt das im 
Einzelfall für zumutbar, wenn das Vor- 
gehen „technisch ohne zu großen Auf- 
wand realisierbar“ und nicht geschäfts- 
schädigend sei. Die Facebook-Anwälte 
hatten bei der mündlichen Verhandlung 
behauptet, dazu brauche man eine „Wun- 
dermaschine“. Ob es „diese ominöse 
Wundermaschine“ gebe, so Seipel, müss- 
te in einem Hauptsacheverfahren geklärt 
werden. Das Gericht ignorierte also, dass 
es schon seit langem Software gibt, die 
z. B. Kinderpornografie aus dem Netz fil- 
tert. Die verbotenen Bilder liegen hierfür 
in einer zentralen Datenbank. Der Be- 
schluss führte zur journalistischen Forde- 
rung nach „mehr digitaler Bildung unter 
deutschen Richtern“. 

Ob es zu einem Hauptsacheverfahren 
kommt, blieb zunächst unklar. Modama- 
nis Anwalt Jun kündigte an, dass er den 
Syrer dabei wegen persönlicher Angrif- 
fe über Facebook nicht weiter vertreten 
könne. Er zeigte sich „enttäuscht“ dar- 
über, dass die Bilder seines Mandanten 
weiter online seien. Das Gericht habe 
sich aber in den Grenzen bewegt, die das 
Gesetz vorsehe: „Wir brauchen andere 
Gesetze.“ Das geltende Recht reiche für 
die Opfer von Verleumdungen nicht aus. 
Die Würzburger Entscheidung habe ge- 
zeigt, dass der Weg über Gerichte nicht 
leicht ist. 

Facebook zeigte sich zufrieden mit 
der Entscheidung. Ein Sprecher mein- 
te, es freue das Unternehmen, „dass das 
Gericht unsere Ansicht teilt, dass die 
eingeleiteten rechtlichen Schritte hier 
nicht der effektivste Weg zur Lösung 
der Situation waren“. Das Unternehmen 
verstehe „sehr gut“, dass es für Moda- 
mani eine „schwierige Situation“ sei. 


Facebook habe „schnell den Zugang 
zu Inhalten blockiert“, die von seinem 
Anwalt „korrekt“ gemeldet worden sei- 
en (Erfolg für Facebook in Würzburger 
Fake-News-Prozess, www.wochenblatt. 
de 07.03.2017; Henzler, Facebook muss 
Verleumdungen nicht suchen und lö- 
schen, SZ 08.03.2017, 1; Brühl, Mär- 
chenstunde, SZ 08.03.2017, 4). 


VG Berlin 


Klage gegen Handyweg- 
nahme bei Schüler 
unzulässig 


Mit Urteil vom 04.04.2017 scheiterten 
ein Berliner Schüler und dessen Eltern 
vor dem Verwaltungsgericht (VG) Berlin 
mit ihrer Klage gegen eine Schule, in der 
der Schüler sein Handy dem Lehrer aus- 
händigen musste (VG 3 K 797.15). Der 
Entzug eines Mobiltelefons durch einen 
Lehrer über mehrere Tage hinweg ist 
keine Verletzung von Grundrechten ei- 
nes Schülers. Der Schüler hatte an einem 
Freitag in der letzten Schulstunde seinem 
Lehrer sein Handy aushändigen müssen, 
weil er sich damit unter der Bank damit 
beschäftigt hatte, statt dem Unterricht 
zu folgen. Die Schulleitung weigerte 
sich zunächst, das Mobiltelefon wieder 
herauszugeben und behielt es über das 
Wochenende unter Verschluss. Am dar- 
auffolgenden Montag konnte die Mutter 
des Schülers das Telefon abholen. 

Die Eltern und der Schüler wollten mit 
ihrer Klage festgestellt wissen, dass die 
Einziehung und Verwahrung des Handys 
rechtswidrig war. Zudem sei der Schüler 
in seiner Ehre verletzt und gedemütigt 
worden. Das sahen die Richter anders. 
Sie stellten klar, dass die vom Schüler 
beklagte plötzliche Unerreichbarkeit 
per Telefon keine unzumutbare Beein- 
trächtigung seiner Grundrechte darstelle. 
Auch in das elterliche Erziehungsrecht 
sei damit nicht eingegriffen worden. Das 
Vorgehen der Schule stelle zudem kei- 
ne Diskriminierung dar. Da der Schüler 
mittlerweile die Schule verlassen hat, 
werde sich der Vorfall nicht wiederholen. 
Die damals von Lehrer und Schulleitung 
getroffene „Maßnahme“ könne nach 
der Rückgabe des Telefons „nicht ohne 
Weiteres auf ihre Rechtmäßigkeit über- 
prüft werden“. Der klagende Schüler, der 
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mittlerweile 18 Jahre alt ist, besuchte im 
Mai 2015 die neunte Klasse einer Sekun- 
darschule in Berlin. Gegen das Urteil ist 
Berufung beim Oberverwaltungsgericht 
Berlin-Brandenburg möglich (Lehrer 
darf Handy von Schüler tagelang ein- 
ziehen, www.rbb-online.de 17.05.2017, 
Mayer, Funkloch 18.05.2017). 


AG Hamburg 


15.000 Euro Bußgeld 
wegen Geoscoring 


Das Amtsgericht (AG) Hamburg be- 
stätigte mit Beschluss vom 16.03.2017 
einen Bußgeldbescheid des Hamburgi- 
schen Datenschutzbeauftragten (HmbBf- 
DI) Johannes Caspar gegenüber dem 
Schufa-Konkurrenten Bürgel in Höhe 
von 15.000 € wegen Geoscoring (233 
OWi 12/17). Die Hamburger Auskunftei 
Bürgel Wirtschaftsinformationen erhielt 
die Geldbuße, nachdem sie auf eine Boni- 
tätsanfrage einer Online-Firma hin dieser 
allein einen Scorewert über die Wohnan- 
schrift eines Kunden übermittelte. Weite- 
re Auskünfte über die Person konnte sie 
nicht geben. Der HmbBfDI sah in dem 
Vorgehen einen klaren Verstoß gegen die 
gesetzlichen Vorgaben zum Scoring zur 
Prüfung der Kreditwürdigkeit. 

Das Bundesdatenschutzgesetz (BDSG) 
untersagt es seit einer Reform von 2009 
in $ 28b, „ausschließlich“ Wohnortdaten 
für die entsprechende Wahrscheinlich- 
keitsberechnung zu nutzen. Auskunftei- 
en dürfen demnach nicht die potenzielle 
Zahlungsfähigkeit eines Betroffenen 
allein aus seiner Wohngegend ableiten, 
ohne weitere personenbezogene Infor- 
mationen und Parameter einzubeziehen. 
Genau ein solches reines Geoscoring sah 
Caspar in dem Bürgel-Fall gegeben. Die 
Auskunftei hielt dem Kontrolleur zufol- 
ge dagegen, dass sie dem Onlinehändler 
mitgeteilt habe, der Kunde sei ihr nicht 
bekannt. Also seien gar keine persönli- 
chen Informationen übermittelt worden. 
Dieser Einwand überzeugte die Daten- 
schutzaufsicht genauso wenig wie das 
AG Hamburg. Es bestätigte das Bußgeld 
in voller Höhe. 

Das Urteil ist zwar noch nicht rechts- 
kräftig, da Bürgel Beschwerde dagegen 
eingelegt hat. Caspar geht trotzdem be- 
reits davon aus, dass er derartige Verfah- 


114 


ren künftig gar nicht mehr führen muss. 
Hintergrund ist, dass die von Mai 2018 
an geltende EU-Datenschutz-Grundver- 
ordnung die Schranken beim Geosco- 
ring nicht aufhebt, den Bußgeldrahmen 
aber um ein Vielfaches erhöht (Krempl, 


Datenschutzverstoß: 15.000 Euro Buß- 
geld wegen Geoscoring, www.heise.de 
26.03.2017; Amtsgericht Hamburg be- 
stätigt Bußgeld gegen Auskunftei, www. 
datenschutz-hamburg.de 24.03.2017). 


slffelslei-tjelg-Teialölate[-1n 


zu 


Narren, 


Kühling, Jürgen/Buchner, Benedikt 
(Hrsg.) 

DS-GVO 

C.H. Beck München 2017, XVI + 1169 
S., 159 €, ISBN 978-3-406-70212-9 


Das ist neu. Die Datenschutz-Grund- 
verordnung tritt erst am 25.05.2018 in 
Kraft und dennoch sind schon eine ganze 
Reihe juristischer Kommentare angekün- 
digt bzw. schon erschienen. Beginnend 
mit Plath (Hg.), BDSG/DS-GVO, der der 
2. Aufl. 2016 seines BDSG-Kommentars 
423 Seiten Kommentierung der DS- 
GVO hinzufügte und dem Beck’schen 
Kompakt-Kommentar Paal/Pauly (Hg.), 
der mit 915 Seiten in kleinerem Format 
erschien, steht nun ein Jahr vor dem 
Stichtag bereits ein Großkommentar im 
Regal: Der Kühling/Buchner. Heraus- 
gegeben von Prof. Dr. Jürgen Kühling 
(Universität Regensburg) und Prof. Dr. 
Benedikt Buchner (Universität Bremen) 
sind hier keine Unbekannten am Werk. 
Um sich geschart haben sie ein illustres 
Team von weiteren und ebenfalls bestens 
ausgewiesenen Datenschutzspezialisten 
aus Universität (Prof. Dr. Bäcker, Mainz; 
Prof. Dr. Boehm, Karlsruhe; PD Dr. 
Herbst, Berlin; Prof. Dr. Marschmann, 
Regensburg; Prof. Dr. Tinnefeld, Mün- 


chen), Datenschutzbehörden (Prof. Dr. 
Caspar, Hamburg; Dr. Dix, Berlin; Dr. 
Jandt, Kassel; Prof. Dr. Petri, München; 
Dr. Weichert, Kiel) und Anwaltschaft 
(Bergt, Berlin; Dr. Hartung, Köln; Dr. 
Klar, München; Dr. Raab, Nürnberg; Dr. 
Schröder, Düsseldorf). Herausgekom- 
men ist ein umfangreiches Werk, das das 
Zeug zum Marktführer hat. 

Dass das Datenschutzrecht an litera- 
rischer Popularität gewonnen hat, war 
allerdings schon vorher offenbar, als 
die Zahl der zum BDSG erschienenen 
Kommentare den zweistelligen Bereich 
erreichte. Selbst der nicht-juristische Be- 
reich hat sich — auch beflügelt durch den 
Nachrichtenkomplex NSA — mit Äuße- 
rungen zu datenschutzrechtlichen Frage- 
stellungen überschlagen. Und zu Recht: 
Ein konsequenter Datenschutz ist Grund- 
voraussetzung einer demokratischen 
Gesellschaft (immer noch lesenswert: 
BVerfGE 65, 1, 43 — Volkszählung). Die 
Tatsache, dass viele Menschen sich (zum 
Teil sogar freiwillig und vorsätzlich) we- 
nig darum kümmern, darf nicht daran 
hindern, den Datenschutz durchzusetzen, 
weil sich die Gesellschaft sonst nach- 
haltig zum Schlechten verändert (siehe 
auch Schirrmacher, Payback 2009 sowie 
Ego 2013). Ein Recht auf Privatleben ist 
Grundvoraussetzung für die Entwick- 
lung einer freien und selbstbestimmten 
Persönlichkeit (Buchner, Art. I Rn. 11). 
Telematiktarife (Rabatte gegen Daten) 
sind in ihren möglichen Folgen ebenso 
bedenklich wie die freiwilligen „digitalen 
Fußfesseln“ (insb. Gesundheits-Apps). 
Für einige Cent Ersparnis und ein neues 
Gadget lassen die Kunden zu, dass per- 
sönlichste Daten de facto unkontrolliert 
— weil zumeist im nicht-europäischen 
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Ausland — und ohne Aussicht auf baldi- 
ges Vergessen gesammelt und verarbeitet 
werden. 

Mit fast 1200 Seiten Umfang im gro- 
Ben „roten“ Kommentarformat liegt hier 
nun ein Buch in der Größe eines Brock- 
haus-Bandes vor. Und schon beim ersten 
Schmökern lernt der Rezensent dazu. Der 
erste Datenschützer war wohl in der Tat 
Hippokrates, der die ärztliche Schwei- 
gepflicht begründete (Weichert, Art. 4 
Nr. 15 Rn. 4). Und die heutigen Daten- 
schützer bewirken mit diesem Gesetzes- 
werk, dass eine Vielzahl von Geschäfts- 
modellen insbesondere im Online-Sektor 
„so nicht mehr praktiziert werden kön- 
nen“ (Buchner/Kühling, Art. 7 Rn. 50). 
Oftmals wird dies allerdings auch schon 
jetzt gelten — es ist nur nicht durchsetz- 
bar. Es bleibt abzuwarten, wie sich dies 
ändern wird. Die hiermit im Zusammen- 
hang stehende Frage „Privacy Shield“ 
wird mit den fortgeschriebenen Prob- 
lemen ebenfalls einer Antwort harren 
(Schröder, Art. 45 Rn. 40 ff.). Die aktu- 
ellen Äußerungen aus Brüssel lassen für 
die Zukunft der „Datenbrücke‘“ keine 
zwingend guten Prognosen zu. 

Manch eine „Kuriosität‘“ lässt man 
dem Verordnungsgeber durchgehen, so 
zum Beispiel die Bemerkung, die Verar- 
beitung personenbezogener Daten solle 
„im Dienste der Menschheit stehen“ (EG 
4). Eine solche Formulierung findet sich 
in dieser Deutlichkeit ansonsten eher in 
Schriften, die die Interessen der daten- 
verarbeitenden Industrie unterstützen 
sollen. Sie ist im Konjunktiv formuliert 
richtig, als Leitsatz zu einer Norm zum 
Schutze des Einzelnen aber wohl nur als 
Versuch einer Abschwächung zu bewer- 
ten. Gemäß EG 2 der RL 95/46 standen 
Datenverarbeitungssysteme noch „im 
Dienste des Menschen“, also des jeweilig 
betroffenen Einzelnen, nicht im noch zu 
bestimmenden Interesse einer ebenfalls 
noch zu bestimmenden Mehrheit oder 
gar im kaum bestimmbaren Interesse 
„der Menschheit“ insgesamt. Hier sei auf 
die Gefahr hingewiesen, dass mit vagen 
oder konkreten Interessen einer Mehrheit 
der eigentlich intendierte Schutz des Ein- 
zelnen ausgehöhlt werden könnte. Es sei 
die Frage erlaubt, ob diese Formulierung 
den Auslegungsgrundsätzen zu Art. 8 
GRCHh entspricht, die in Art. 52 Abs. 1 
GRCHh niedergelegt sind (dazu Kühling/ 
Raab Einf Rn. 29 ff.). 
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Man sehe es dem Unterzeichner nach, 
wenn er der Versuchung nicht widersteht, 
einzelne Aspekte herauszugreifen, ohne 
damit die Qualität der übrigen Kom- 
mentierung herabzusetzen. Das Buch 
ist zu umfangreich und zu tiefgehend, 
um alle Aspekte auf dem beschränkten 
Raum einer Buchbesprechung angehen 
zu können. Schließlich gilt: Der Kühling/ 
Buchner hat das Zeug zum Marktführer 
(Rechtsanwalt Prof. Dr. Stefan Ernst, 
Freiburg/Br.). 


Gola, Peter (Hrsg.) 

DS-GVO, Datenschutz-Grundverord- 
nung VO (EU) 2016/679 

C.H.Beck 2017, 834 S., ISBN 978 3 406 
69543 8, 79,00 € 


(tw) Die Strategie des C.H.Beck-Ver- 
lags generell bei juristischen Kommenta- 
ren und insbesondere auch bei der Kom- 
mentierung der Datenschutz-Grundver- 
ordnung (DSGVO) ist es, den Markt voll 
abzudecken und so zu bedienen, dass an- 
dere Verlage kaum noch eine Chance ha- 
ben. Nach dem Schnellschuss (Paal/Pau- 
ly, DANA 1/2017, 67) sind inzwischen 
ein Großkommentar (Kühling/Buchner, 
s. 0.) sowie der (graue) sog. Kurz-Kom- 
mentar von Ehmann/Selmayr auf dem 
Markt. Praktisch zeitgleich erschien der 
(orangene) „Gola“ in historischer An- 
knüpfung an die BDSG-Kommentierun- 
gen von Gola/Schomerus, die letztmalig 
2015 in 12. Auflage erschienen. Dieser 
relativ preisgünstige Kommentar zielt 
auf das allgemeine Publikum ab und 
behandelt die DSGVO-Regelungen zu- 
meist praxisorientierter und vertiefter als 
der Paal/Pauly. Anders als bisher zum 
BDSG werden inzwischen die Kommen- 
tierungen namentlich zugeordnet, wobei 
die AutorInnen durchgängig bekannt und 
qualifiziert sind: Carolyn Eichler, Lorenz 
Franck, Christoph Klug, Niels Lepper- 


hoff, Alexander Nguyen, Norbert Nolte, 
Carlo Piltz, Stephan Pötters, Yvette Reif, 
Sebastian Schulz und Christoph Werk- 
meister. Diese Kombi verbietet es, den 
Kommentar in eine bestimmte Ecke zu 
stellen, da sowohl kritische Aufsichtsver- 
treterInnen und Wissenschaftler wie auch 
sehr pragmatisch kommentierende Ver- 
treter von Verarbeiterinteressen beteiligt 
sind. Die Qualität der Kommentierung ist 
durchgängig erfreulich, so dass ein erster 
Blick in den „Gola“ insbesondere für die 
PraktikerIn erkenntnisfördernd ist. Für 
die wissenschaftliche Tiefe ist dann aber 
doch noch der Rückgriff auf weitere Lite- 
ratur nötig, wobei auf diese sehr weitge- 
hend verwiesen wird. 

Die Anzahl der Kommentare zur DS- 
GVO ist zweifellos förderlich für eine 
intensive Diskussion zu vielen Einzelfra- 
gen, die sich um dieses interpretationsbe- 
dürftige Regelwerk ergeben und künftig 
noch lange ergeben werden. Dabei soll- 
te aber nicht nur allein auf den „Gola“ 
zurückgegriffen werden. So meint z. B. 
Piltz, dass es zwischen Berufsgeheim- 
nissen und Datenschutzkontrolle einen 
Konflikt gebe, bei dem erstgenannten 
der Vorrang gebühre. Diese fatale verfas- 
sungs- und europarechtswidrige Ansicht 
wurde inzwischen durch den Bundesge- 
setzgeber für Deutschland in Paragra- 
fen gegossen. Oder Gola selbst referiert 
unkritisch bei Art. 23 die damals noch 
geplanten und inzwischen etwas relati- 
vierten Einschränkungen der Betroffe- 
nenrechte. Schulz meint, leider im Ein- 
klang mit vielen weiteren Autoren, bei 
der Auslegung des Art. 22 zum Profiling, 
dass damit nicht das „Werbescoring“ er- 
fasst würde, womit, entgegen der Inten- 
tion des europäischen Gesetzgebers, der 
wichtigste praktische Anwendungsfall 
des Profiling ins juristische Niemands- 
land verbannt wird. Dabei wird nicht of- 
fengelegt, dass Schulz nicht nur Anwalt 
ist, sondern auch für den Bundesver- 
band E-Commerce und Versandhandel 
Deutschland (BEVH) tätig ist, was sei- 
ne verarbeitungs- und werbefreundliche 
Auslegung der DSGVO erklärt. 

Es ist klar, dass die Auslegung der 
DSGVO nicht nur ein einträgliches Ge- 
schäft, sondern auch der Schlüssel für 
einträgliche Geschäfte ist. Deshalb muss 
hierüber öffentlich gestritten werden. Der 
„Gola“ ist hierfür eine äußerst wertvolle 
Grundlage. 
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Big Data im Gesundheitswesen 


Telemedizin, datenbasierte Gesundheitsanalysen, 

2 ä Health-Apps und mobile Geräte zur individuellen 

2 Gesundheitskontrolle — immer mehr Gesundheits- 
dienstleistungen werden mit Hilfe digitaler Dienste 


Seftung Datenschw#H 
ug und Strukturen angeboten. 


Schrift 


Chancen nutzen, 


. —. ealth Patientenrechte wahren 


Die rasante Entwicklung verspricht nicht nur enorme 
Qualitätssteigerungen in der Gesundheitsversorgung 
und neue Märkte im Gesundheitssektor. Sie wirft auch 
viele Fragen mit weitreichender Relevanz für den 
Datenschutz auf: 


Auch als 


>» Wie sehen die wissenschaftlichen, aber 
—. AA m auch die ökonomischen Perspektiven dieser 
n es] rer Entwicklung aus? 
\ Wie zuverlässig sind digitale Lösungsansätze 
rer im Gesundheitsbereich? 


| 


V 


Wie entwickelt sich zukünftig das 
Arzt-Patienten-Verhältnis? 
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Big Data und E-Health Welche gesellschaftlichen Folgen könnte 


Herausgegeben von der Stiftung Datenschutz eine „Kultur der Selbstvermessung“ haben? 
Mit Beiträgen von Prof. Dr. Björn Bergh, Antje 
Brandner, Prof. Dr. Roland Eils, Prof. Dr. Ulrich 

M. Gassner, Björn Haferkamp, M.A., Prof. Dr. Dirk 
Heckmann, Dr. Oliver Heinze, Prof. Dr. Christof 
von Kalle, Christian Klose, Dr. Ulrike Kutscha, 
Klaus Müller, Anne Paschke, Bertram Raum, Peter 
Schaar, Dr. Christopher Schickhardt, Dr. Björn 
Schreiweis, Prof. Dr. Stefan Selke, Prof. Dr. Stefan 
Sorgner, Prof. Dr. Frank Ückert, Dr. Thilo Weichert, Ü WWW. ESV.info/1 7492 
Prof. Dr. Eva Winkler 


2017, 202 Seiten, fester Einband, € (D) 42,— Weit Inf MM j 
ISBN 978-3-503-17491-1 eitere Informationen: 


DatenDebatten, Band 2 ÜD www.ESV.info/17491 


Wie kann das Vertrauen der Patienten bzw. 
der Anwender in E-Health-Dienstleistungen 
nachhaltig gestärkt werden? 


R 4 


Auch als eBook erhältlich mit komplett verlinkten 
Inhalts- und Stichwortverzeichnissen. 
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